О внесении изменений и дополнений в постановление Правления Национального Банка Республики Казахстан от 28 января 2016 года № 34 "Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Р

Постановление Правления Национального Банка Республики Казахстан от 28 февраля 2022 года № 9. Зарегистрировано в Министерстве юстиции Республики Казахстан 10 марта 2022 года № 27074

Действующий

      Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Внести в постановление Правления Национального Банка Республики Казахстан от 28 января 2016 года № 34 "Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 13256) следующие изменения и дополнения:

      в Требованиях к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, утвержденных указанным постановлением:

      абзац первый пункта 2 изложить в следующей редакции:

      "2. В Требованиях используются понятия, предусмотренные статьей 1 Закона Республики Казахстан "О платежах и платежных системах", статьей 1 Закона Республики Казахстан "Об информатизации", Правилами оказания банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 212, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 14337 (далее – Правила № 212), а также следующие понятия:";

      пункты 5 и 6 изложить в следующей редакции:

      "5. Для обеспечения защиты данных от несанкционированного доступа внутренними документами банка устанавливается порядок хранения и использования технических средств, паролей или другой информации, предоставляющих доступ к рабочему месту.

      6. Внутренними документами банка утверждается порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в информационную систему, получения информации из информационной системы, хранения, архивирования либо другой обработки информации.";

      главу 3 изложить в следующей редакции:

      "Глава 3. Требования к внутренним документам банка по структуре и функционированию информационной системы

      11. Внутренними документами банка по структуре и функционированию информационных систем утверждается:

      1) перечень информационных систем и их объектов, их назначение и основные характеристики, требования к числу уровней иерархии и степени централизации систем, в том числе, перечень функций, задач по каждому объекту информационной системы;

      2) требования к способам и средствам связи для информационного обмена между компонентами информационных систем;

      3) планы восстановления работы информационных систем (далее - план восстановления);

      4) требования к режимам функционирования информационных систем;

      5) требования к мониторингу функционирования информационных систем;

      6) требования к классификации, количеству и режиму работы ответственных работников команды восстановления.

      12. Внутренние документы банка по структуре и функционированию информационных систем подлежат пересмотру на предмет актуализации на периодической основе, определенной банком, но не реже одного раза в год.";

      дополнить пунктами 18-1 и 18-2 следующего содержания:

      "18-1. Банк обеспечивает наличие не менее одного резервного центра, находящегося в ином населенном пункте (столице, городе республиканского значения, городе областного значения, городе районного значения), чем основной центр, гарантирующего возобновление предоставления банком платежных услуг в течение срока, установленного частью третьей пункта 23 Требований.

      Увеличение сроков, установленных частью третьей пункта 23 Требований, осуществляется при наличии достаточных оснований, влияющих на сроки возобновления предоставления платежных услуг, с одновременным уведомлением Национального Банка.

      Основной и резервный центры банка размещаются на территории Республики Казахстан.

      18-2. Банк обеспечивает каждый центр (основной и резервный) двумя выделенными каналами связи от разных поставщиков (провайдеров) услуг связи.";

      пункт 22 изложить в следующей редакции:

      "22. По итогам тестирования Плана банком подготавливается документ о результатах тестирования (протокол) с указанием:

      1) перечня информационных систем и их объектов, по которым проведено тестирование, а также места нахождения основного и резервного центров;

      2) времени, затраченного на восстановление работы информационных систем и их объектов;

      3) выявленных уязвимостей и предложений по их устранению.

      Сведения о результатах тестирования представляются банком в Национальный Банк Республики Казахстан (далее – Национальный Банк) в течение пятнадцати рабочих дней после утверждения документа о результатах тестирования уполномоченным органом банка.";

      дополнить пунктом 26 следующего содержания:

      "26. В целях организации возобновления доступа клиентов к платежным услугам банк предоставляет в Национальный Банк по защищенным каналам связи перечень актуальных уникальных числовых идентификаторов (IP-адресов) информационных систем, находящихся как в основном, так и в резервном центре. В случае изменения уникальных числовых идентификаторов (IP-адресов) информационных систем, находящихся как в основном, так и в резервном центре, банк незамедлительно информирует Национальный Банк по защищенным каналам связи.

      Национальный Банк совместно с банками осуществляет необходимые мероприятия, связанные с возобновлением доступа клиентов к платежным услугам, в том числе, в период чрезвычайного положения.".

      2. Банкам, филиалам банков-нерезидентов Республики Казахстан и организациям, осуществляющим отдельные виды банковских операций, обеспечить выполнение требований по размещению основного и резервного центров информационных систем на территории Республики Казахстан в течение трех лет со дня введения в действие настоящего постановления.

      3. Департаменту платежных систем (Ашыкбеков Е.Т.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом (Касенов А.С.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Шолпанкулова Б.Ш.

      5. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель Правления
Национального Банка
Республики Казахстан
Г. Пирматов