Внесены изменения в Требования к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций (аннотация к документу от 28.02.2022)

Внесены изменения в Требования к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

Аннотация к документу: Постановление Правления Национального Банка Республики Казахстан от 28 февраля 2022 года № 9 «О внесении изменений и дополнений в постановление Правления Национального Банка Республики Казахстан от 28 января 2016 года № 34 «Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций» (не введено в действие)

В частности, в постановление внесены следующие изменения:

пункты 5 и 6 изложены в следующей редакции:

«5. Для обеспечения защиты данных от несанкционированного доступа внутренними документами банка устанавливается порядок хранения и использования технических средств, паролей или другой информации, предоставляющих доступ к рабочему месту.

6. Внутренними документами банка утверждается порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в информационную систему, получения информации из информационной системы, хранения, архивирования либо другой обработки информации.»;

главу 3 изложен в следующей редакции:

«Глава 3. Требования к внутренним документам банка по структуре и функционированию информационной системы

11. Внутренними документами банка по структуре и функционированию информационных систем утверждается:

1) перечень информационных систем и их объектов, их назначение и основные характеристики, требования к числу уровней иерархии и степени централизации систем, в том числе, перечень функций, задач по каждому объекту информационной системы;

2) требования к способам и средствам связи для информационного обмена между компонентами информационных систем;

3) планы восстановления работы информационных систем (далее - план восстановления);

4) требования к режимам функционирования информационных систем;

5) требования к мониторингу функционирования информационных систем;

6) требования к классификации, количеству и режиму работы ответственных работников команды восстановления.

12. Внутренние документы банка по структуре и функционированию информационных систем подлежат пересмотру на предмет актуализации на периодической основе, определенной банком, но не реже одного раза в год.»;

дополнено пунктами 18-1 и 18-2 следующего содержания:

«18-1. Банк обеспечивает наличие не менее одного резервного центра, находящегося в ином населенном пункте (столице, городе республиканского значения, городе областного значения, городе районного значения), чем основной центр, гарантирующего возобновление предоставления банком платежных услуг в течение срока, установленного частью третьей пункта 23 Требований.

Увеличение сроков, установленных частью третьей пункта 23 Требований, осуществляется при наличии достаточных оснований, влияющих на сроки возобновления предоставления платежных услуг, с одновременным уведомлением Национального Банка.

Основной и резервный центры банка размещаются на территории Республики Казахстан.

18-2. Банк обеспечивает каждый центр (основной и резервный) двумя выделенными каналами связи от разных поставщиков (провайдеров) услуг связи.»;

пункт 22 изложен в следующей редакции:

«22. По итогам тестирования Плана банком подготавливается документ о результатах тестирования (протокол) с указанием:

1) перечня информационных систем и их объектов, по которым проведено тестирование, а также места нахождения основного и резервного центров;

2) времени, затраченного на восстановление работы информационных систем и их объектов;

3) выявленных уязвимостей и предложений по их устранению.

Сведения о результатах тестирования представляются банком в Национальный Банк Республики Казахстан (далее – Национальный Банк) в течение пятнадцати рабочих дней после утверждения документа о результатах тестирования уполномоченным органом банка.»;

дополнено пунктом 26 следующего содержания:

«26. В целях организации возобновления доступа клиентов к платежным услугам банк предоставляет в Национальный Банк по защищенным каналам связи перечень актуальных уникальных числовых идентификаторов (IP-адресов) информационных систем, находящихся как в основном, так и в резервном центре. В случае изменения уникальных числовых идентификаторов (IP-адресов) информационных систем, находящихся как в основном, так и в резервном центре, банк незамедлительно информирует Национальный Банк по защищенным каналам связи.

Национальный Банк совместно с банками осуществляет необходимые мероприятия, связанные с возобновлением доступа клиентов к платежным услугам, в том числе, в период чрезвычайного положения.».

Постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.