Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы

      ЗҚАИ-ның ескертпесі!
      Қолданысқа енгізілу тәртібін 4-тармақтан қараңыз

      Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Осы қаулыға қосымшаға сәйкес Қазақстан Республикасының ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізілетін нормативтік құқықтық актілерінің тізбесі бекітілсін (бұдан әрі -Тізбе).

      2. Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы 2025 жылғы 1 қарашадан бастап қолданысқа енгізілетін Тізбенің 1-тармағын қоспағанда, алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізілетін нормативтік құқықтық актілерінің тізбесі

      1. "Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16772 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:

      кіріспесі мынадай редакцияда жазылсын:

      "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасы Заңы 61-5-бабының 4-тармағына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:";

      көрсетілген қаулымен бекітілген Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарда:

      2-тармақтың 21) тармақшасы мынадай редакцияда жазылсын:

      "21) банктің, ұйымның деректерді өңдеу орталығы – банктің, ұйымның ақпараттық жүйелерінің жұмысын қамтамасыз ететін серверлер орналастырылған, арнайы бөлінген үй-жай;";

      15-тармақ мынадай редакцияда жазылсын:

      "15. Банк, ұйым ақпараттық қауіпсіздік бөлімшесіне техникалық қауіпсіздікті қамтамасыз ету бойынша функцияларды жүктеу мүмкіндігін айқындайды. Ақпараттық қауіпсіздік бөлімшесі олардың негізгі функцияларымен мүдделер қайшылықтарына апаратын функцияларды, оның ішінде Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 19632 болып тіркелген Қазақстан Республикасының Ұлттық Банкі Басқармасының 2019 жылғы 12 қарашадағы № 188 қаулысымен бекітілген Екінші деңгейдегі банктерге, Қазақстан Республикасының бейрезидент-банктерінің филиалдарына арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларының 15-тарауында көзделген функцияларды жүзеге асырмайды.";

      29-тармақ мынадай редакцияда жазылсын:

      "29. АҚБЖ туралы ақпарат еркін нысанда жасалады және ұсынылатын деректердің құпиялылығы мен түзетілмеуін қамтамасыз ететін криптографиялық қорғау құралдарымен ақпаратты кепілді жеткізудің тасымалдау жүйесін пайдалана отырып, немесе ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты өңдеуге арналған уәкілетті органның автоматтандырылған жүйесі арқылы уәкілетті органға ұсынылады.";

      мынадай мазмұндағы 31-1-тармақпен толықтырылсын:

      "31-1. Банк, ұйым банктің, ұйымның ақпараттық қауіпсіздігін басқару жүйесінің жай-күйіне банктің, ұйымның атқарушы органы айқындайтын көлемде "Ақпараттық қауіпсіздік, киберқауіпсіздік және құпиялылықты қорғау. Ақпараттық қауіпсіздік менеджменті жүйелері. Талаптар" СТ ISO/IEC 27001-2023 Қазақстан Республикасының ұлттық стандартына немесе "Information security, cybersecurity and privacy protection – Information security management systems - Requirements" (Информэйшн секьюрити, сайберсекьюрити энд прайвэси протекшн. Информэйшн секьюрити мэнэджмент системс - Реквайрментс) ISO/IEC 27001:2022 халықаралық стандартына (Ақпараттық қауіпсіздік, киберқауіпсіздік және жеке өмірді қорғау - Ақпараттық қауіпсіздік менеджменті жүйелері - Талаптар) сәйкес келуіне 3 (үш) жылда кемінде бір рет сыртқы тексеруді жүргізеді.";

      89-тармақ мынадай редакцияда жазылсын:

      "89. Осы саладағы тәуелсіз сыртқы сарапшылар банк, ұйым айқындаған кезеңділікпен ақпараттық инфрақұрылымға рұқсатсыз кіруге тестілеу жүргізеді. Осы тестілеудің шегінде, жүйелік және қолданбалы бағдарламалық қамтылымның осал жерлерін іздестіру және пайдалану мүмкіндіктерінен басқа "қызмет көрсетуден бас тарту" шабуылына ұқсатып жүктеме тестілер жүргізіледі.";

      108-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

      "1) ақпараттық қауіпсіздікті қамтамасыз ету әдістері;";

      мынадай мазмұндағы 156-1-тармақпен толықтырылсын:

      "156-1. "Банкте, ұйымда клиенттің атына бұрын тіркелмеген мобильді құрылғыда клиентті мобильді қосымшада бірдейлендіру кезінде банк, ұйым СДАО растаған немесе банктің, ұйымның құрылғылары арқылы алынған биометриялық деректерді пайдалана отырып, клиентті биометриялық сәйкестендіруді жүргізеді.";

      160 және 161-тармақтар мынадай редакцияда жазылсын:

      "160. Мобильді қосымша:

      1) мобильді қосымшаның тек қана банкке, ұйымға тиесілігін сәйкестендіруді (қосымшалардың ресми дүкеніндегі деректер, логотиптер, корпоративтік түстер);

      2) операциялық жүйенің тұтастығын бұзу және (немесе) қорғау тетіктерін айналып өту белгілерін анықтаған, қашықтан басқару процестерін анықтаған жағдайда банктің, ұйымның қашықтан қызмет көрсету бойынша функционалын бұғаттауды;

      3) клиентті мобильді қосымшаның жаңартуларының бар екендігі туралы хабардар етуді;

      4) маңызды осалдықтарды жою қажет болған жағдайда, мобильді қосымшаның жаңартуларын мәжбүрлеп орнату немесе оларды орнатқанға дейін мобильді қосымшаның функционалын бұғаттау мүмкіндігін;

      5) конфиденциалды деректерді мобильді қосымшаның қорғалған контейнерінде немесе жүйелік есепктік деректерді сақтау орнында сақтауды;

      6) конфиденциалды деректерді кэштеуді алып тастауды;

      7) мобильді қосымшаның резервтік көшірмелерінен ашық түрдегі конфиденциалды деректерді алып тастауды;

      8) клиентті мобильді қосымшаны пайдалану кезінде басшылыққа алу ұсынылатын кибергигиенаны қамтамасыз етудің әдістері туралы хабардар етуді;

      9) клиентті оның есептік жазбасындағы авторландыру оқиғалары, құпиясөзді өзгерту және (немесе) қалпына келтіру, банк, ұйым тіркеген мобильді телефон нөмірінің өзгеруі туралы хабардар етуді;

      10) ақшалай қаражатпен операцияларды жүзеге асыру барысында -клиенттің рұқсаты болған жағдайда банктің, ұйымның серверлік ҚБҚ-ға мобильді құрылғының геолокациялық деректерін беру не мұндай рұқсаттың жоқ екендігі туралы ақпарат беруді қамтамасыз етеді;

      11) клиенттен рұқсаты болған кезде банк, ұйым айқандайтын тәртіппен мобильді құрылғының микрофонына белсенді қолжетімділік анықталған жағдайда ақшалай қаражатпен операцияларды жүзеге асыру жөніндегі функционалды бұғаттау не банктің серверлік ҚБҚ-на осындай рұқсаттың жоқтығы туралы ақпаратты беру.

      161. Банк, ұйым өз тарапынан:

      1) жауапта конфиденциалды деректердің жария болуына жол бермей, проблеманы анықтау үшін ең аз қажетті ақпарат ұсына отырып, қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді;

      2) мобильдік қосымшаларды және олармен байланысты құрылғыларды сәйкестендіруді және бірдейлендіруді;

      3) жалған сұрау салулармен және зиянды код инъекциялары шабуылдарының алдын алу үшін деректердің жарамдылығын тексеруді;

      4) банкте, ұйымда тіркелген құрылғыларда клиенттердің мобильді қосымшаларында қашықтан басқару процестерін анықтау оқиғаларының және операциялық жүйенің тұтастығын бұзу және (немесе) қорғау тетіктерін айналып өту белгілерінің, сондай-ақ клиенттердің мобильді қосымшаларының функционалын бұғаттау жөніндегі іс-қимылдардың жазбаларын сақтау;

      5) бірдейлендірудің сәтсіз әрекеттері туралы және клиенттерге осы әрекеттер жөнінде хабарлау туралы жазбаларды сақтау.";

      көрсетілген қаулымен бекітілген Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерде:

      3-тармақ мынадай редакцияда жазылсын:

      "3. Банк, ұйым уәкілетті органға ақпараттық қауіпсіздіктің мынадай анықталған оқыс оқиғалары туралы ақпаратты ұсынады:

      1) қолданбалы және жүйелік бағдарламалық қамтылымдағы осалдықтарды пайдалану;

      2) ақпараттық жүйеге санкцияланбаған кіру;

      3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

      4) сервердің зиянды бағдарламамен немесе кодпен зақымдануы;

      5) ақпараттық қауіпсіздікті бақылауын бұзу салдарынан ақша қаражатын санкцияланбай аударуды жүзеге асыру;

      6) клиенттің сәйкестендіру және бірдейлендіру банк жүйелерінің жұмысын бұзу;

      7) ақпараттық жүйелердің бір сағаттан артық тұрып қалуына әкеп соққан ақпараттық қауіпсіздіктің өзге де оқыс оқиғалары.

      Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты банк немесе ұйым ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты өңдеуге арналған және ақпараттық қауіпсіздік жүйелерімен немесе ақпараттық инфрақұрылымдағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын банктің, ұйымның жүйелерімен ықпалдастырылған уәкілетті органның автоматтандырылған жүйесі (бұдан әрі – ААӨЖ) арқылы немесе ұсынылатын деректердің конфиденциалдығын және түзетілмеуін қамтамасыз ететін криптографиялық қорғау құралдары бар ақпараттың жеткізілуіне кепілдік беретін тасымалдау жүйесін пайдалана отырып, электрондық форматта дереу береді.

      Жоғарыда көрсетілген жүйелер қолжетімсіз болған жағдайда, оқиға туралы ақпаратты беру банкті, ұйымды ААӨЖ-да тіркеу кезінде көрсетілген банктің, ұйымның телефон нөмірінен банктің, ұйымның ресми хатымен қағаз жеткізгіште қайталай отырып, уәкілетті органның интернет-ресурсында "Ақпараттық қауіпсіздік" бөлімінде байланыс үшін көрсетілген уәкілетті органның телефон нөміріне жүзеге асырылады.".

      2. "Банктердің, банк қызметтерінің жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидаларын бекіту туралы" Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2024 жылғы 16 тамыздағы № 56 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 34950 болып тіркелген) мынадай өзгерістер енгізілсін:

      тақырыбы мынадай редакцияда жазылсын:

      "Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидаларын бекіту туралы";

      1-тармақ мынадай редакцияда жазылсын:

      "1. Қоса беріліп отырған Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидалары (бұдан әрі – Қағидалар) бекітілсін.";

      көрсетілген қаулымен бекітілген Банктердің, банк қызметтерінің жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидаларында:

      тақырыбы мынадай редакцияда жазылсын:

      "Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидалары";

      1-тармақ мынадай редакцияда жазылсын:

      "1. Осы Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидалары (бұдан әрі – Қағидалар) "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасы Заңының 34-бабының 5-5-тармағының және "Микроқаржылық қызмет туралы" Қазақстан Республикасы Заңының 3-бабының 3-5-тармағының талаптарына сәйкес әзірленді.

      Осы Қағидалар банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар және микроқаржы ұйымдары өздерінің аппараттық құрылғылары арқылы өткізетін биометриялық идентификаттау процестеріне қолданылмайды.";

      12-тармақ мынадай редакцияда жазылсын:

      "12. Биометриялық деректерді салыстыру идентификаттау өткізілетін адамның бейненің шынайылығын тексеру нәтижесі бойынша алынған ағымдағы бейнесін идентификаттау өткізілетін адамның эталондық бейнесімен салыстыру арқылы жүзеге асырылады. Бейнелерді салыстыру нәтижесін қалыптастыру тәртібін биометриялық сәйкестендіру провайдері анықтайды.";

      13-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

      "1) идентификаттау өткізілетін адамның бейненің шынайылығын тексеру нәтижесі бойынша алынған ағымдағы бейнесі;".

      3. "Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидаларын бекіту туралы" Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2022 жылғы 12 қыркүйектегі № 67 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 29639 болып тіркелген) мынадай өзгеріс енгізілсін:

      көрсетілген қаулымен бекітілген Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидалары өзгерістер мен толықтырулар енгізілетін Қазақстан Республикасының ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізілетін нормативтік құқықтық актілерінің тізбесіне қосымшаға сәйкес редакцияда жазылсын.

Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидалары

1-тарау. Жалпы ережелер

      1. Осы Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" Қазақстан Республикасының Заңы (бұдан әрі – Ақпараттандыру туралы заң) 7-5-бабының 4-тармағына сәйкес әзірленді және қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің (бұдан әрі - АҚ) оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану тәртібін айқындайды.

      2. Қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органның ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпаратты өңдеудің автоматтандырылған жүйесі (бұдан әрі - ААӨЖ) қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісі болып табылады.

      3. Қағидаларда Ақпараттандыру туралы заңды көзделген, сондай-ақ мынадай ұғымдар пайдаланылады:

      1) жауапты қызметкер –лауазымдық міндеттерінде ААӨЖ-де ақпарат өңдеу бекітілген ұйымының қызметкері;

      2) қаржы ұйымының бейіні – ААӨЖ-дегі қаржы ұйымы туралы құрылымдалған ақпарат;

      3) қауіп-қатер туралы ескерту – барлық қаржы ұйымдары үшін АҚ өзекті оқиғалары бойынша хабарлама;

      4) оқыс оқиға картасы – уәкілетті органға Қағидаларға сәйкес ұсынылатын қаржы ұйымындағы АҚ оқыс оқиғасы туралы құрылымдалған ақпарат;

      5) осалдық туралы ескерту – бағдарламалық қамтылымды және қаржы нарығы субъектілерінің инфрақұрылымында пайдаланылатын жабдықты өндірушілерде осалдықтың анықталғаны туралы хабарлама;

      6) сигнал – қаржы ұйымының ақпараттық инфрақұрылымындағы АҚ жүйелерінен немесе нақты уақытта АҚ оқиғалары туралы ақпарат жинау мен талдауды жүзеге асыратын жүйелерден алынатын АҚ оқиғасы туралы құрылымдалған ақпарат;

      7) сұрату – ақпаратты қорғауды қамтамасыз ететін ААӨЖ құралдары арқылы іске асырылған, АҚ қамтамасыз ету мәселелері бойынша қаржы ұйымдарының бір-біріне немесе қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органға (бұдан әрі – уәкілетті орган) ресми түрде жүгінуі;

      8) ықпалдастыру модулі – қаржы ұйымының ААӨЖ-дегі инфрақұрылымында АҚ оқиғалары бойынша ақпарат беруді автоматтандыру үшін қаржы ұйымының инфрақұрылымына орнатылатын бағдарламалық қамтылым.

      4. ААӨЖ-ні пайдаланған уақытта Ақпараттандыру туралы заңның, "Дербес деректер және оларды қорғау туралы", "Қазақстан Республикасындағы банктер және банк қызметі туралы" заңдардың қорғалатын ақпараттың қауіпсіздігін қамтамасыз ету жөніндегі талаптары сақталады.

2-тарау. ААӨЖ-ге қосу

      5. ААӨЖ-ге қаржы ұйымының ақпараттық қауіпсіздік бөлімшесі, сондай-ақ қаржы ұйымының ақпараттық қауіпсіздігінің жедел орталығы (бұдан әрі-АҚЖО) бар болған жағдайда қосылады. ААӨЖ-де қаржы ұйымының және АҚЖО-ның бейінін құру үшін жауапты қызметкер АҚ салалық орталығына қаржы ұйымының мынадай есепке алу деректерін ұсынады:

      1) қаржы ұйымының және АҚЖО-ның атауы;

      2) заңды тұлғаның бизнес-сәйкестендіру нөмірі;

      3) электрондық поштаның мекенжайы.

      6. Қаржы ұйымының және АҚЖО-ның пайдаланушысының есепке алу жазбасын құру үшін ААӨЖ-де жауапты қызметкер АҚ салалық орталығына пайдаланушының мынадай есепке алу деректерін ұсынады:

      1) тегі, аты, әкесінің аты (ол бар болса);

      2) лауазымы;

      3) ұйымның атауы;

      4) байланыс телефондары;

      5) электрондық поштаның мекенжайы.

      7. ААӨЖ-ге сигналдарды беру үшін банктер, Қазақстан Республикасы бейрезидент-банктерінің филиалдары (бұдан әрі – банктер), банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар (бұдан әрі – ұйымдар) және (немесе) АҚЖО АҚ-ның салалық орталығы ұсынған ықпалдасу модулін банктің, ұйымның, АҚЖО-ның АҚ жүйелеріне немесе банктің, ұйымның ақпараттық инфрақұрылымында АҚ оқиғалары туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын жүйелерге қоса отырып, банктің, ұйымның ақпараттық инфрақұрылымына орнатуды жүзеге асырады.

      8. Банктер, ұйымдар, АҚЖО мынадай АҚ оқиғалары анықталған жағдайда сигналдарды ААӨЖ-ге береді:

      1) IPS/IDS зиянды белсенділігін анықтау (басып кіруді анықтау және алдын алу жүйесі);

      2) WAF зиянды белсенділігін анықтау (веб-қосымшалардың желілік сүзгісі);

      3) соңғы нүктелерді қорғау жүйесінің зиянды белсенділігін анықтау;

      4) зиянды кодты алу;

      5) фишингтік хабарлама алу;

      6) белсенді желілік қызметтерді анықтау үшін IP-мекенжайларды желілік сканерлеу;

      7) есептік жазбаның құпиясөзін мөлшерден артық теру (сыртқы аяда);

      8) құпиясөзге есептік жазбаларды мөлшерден артық теру (сыртқы аяда).

      9. Банк, ұйым ААӨЖ-мен ықпалдасу модулін байланыстыру үшін интернет-арнаны қамтамасыз етеді.

3-тарау. ААӨЖ-ні пайдалану

      10. Қазақстан Республикасының қаржы нарығы үшін АҚ қауіп-қатері анықталған кезде қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері немесе АҚ бөлімшесі басшылығының келісімі бойынша мынадай деректерді енгізу арқылы ААӨЖ-ге қауіп-қатер туралы ескерту жасайды:

      1) пайда болу көзі;

      2) қауіп-қатердің түрі;

      3) қауіп-қатердің дәрежесі;

      4) конфиденциалдылық дәрежесі;

      5) қауіп-қатердің сипаттамасы;

      6) ұсынымдар.

      11. Қаржы ұйымының АҚ басқару жүйесінің жұмыс істеуін қамтамасыз ету үшін қосымша ақпарат алу қажет болған кезде қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша уәкілетті органға немесе қаржы ұйымдарына ААӨЖ-ге сұрату жібереді.

      12. Банктің, ұйымның немесе АҚЖО-ның жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша АҚ-ның мынадай оқыс оқиғалары анықталған жағдайда ААӨЖ-де дереу оқыс оқиға картасын жасайды:

      1) қолданбалы және жүйелік бағдарламалық қамтылымдағы осалдықтарды пайдалану;

      2) ақпараттық жүйеге рұқсатсыз кіру;

      3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

      4) серверді зиянды бағдарламамен немесе кодпен зақымдау;

      5) АҚ бақылауларын бұзу салдарынан ақша қаражатын санкциясыз аудару;

      6) клиенттің сәйкестендіру және бірдейлендіру банк жүйелерінің жұмысын бұзу;

      7) ақпараттық жүйелердің бір сағаттан астам тұрып қалуына әкеп соққан өзге де АҚ оқыс оқиғалары.

      13. Қауіп-қатер немесе осалдық туралы ескерту алған кезде қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша 1 (бір) жұмыс күні ішінде ескертуден ұсынымдарды қабылдайды немесе қолданудан бас тартады және оны ААӨЖ-де көрсетеді.

      Ұсынымдарды қолдану аяқталғаннан кейін қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері ААӨЖ-де ескерту мәртебесін өңделген күйге өзгертеді.

      14. ААӨЖ-ге сұрату алған кезде қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша 1 (бір) жұмыс күні ішінде оны жұмысқа қабылдайды немесе қабылдамайды және мұны сұратуға түсініктемелерде көрсетеді. Жұмыс аяқталғаннан кейін 10 (он) жұмыс күнінен кешіктірмей сұрату бойынша қаржы ұйымының немесе АҚЖО-ның жауапты қызметкерінің АҚ бөлімшесі басшылығының келісімі бойынша ААӨЖ-де жауап құрастырады.

      15. Қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері АҚ салалық орталығы ААӨЖ-де қауіп-қатер туралы ескертуді, оқыс оқиға картасын немесе ұсынылған деректердің толық болмауына байланысты сұратуға жауапты қайтарған жағдайда 3 (үш) жұмыс күні ішінде кемшіліктерді жояды.