Агентство Республики Казахстан по регулированию и развитию финансового рынка

Об утверждении Требований к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

Об утверждении Требований к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

 

В соответствии с пунктом 9 статьи 55 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

  1. Утвердить прилагаемые Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций согласно приложению к настоящему постановлению.
  2. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

  1. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.
  2. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

 

 

Должность

 

ФИО

 

 

 

Приложение  

к постановлению

 

Утверждены

постановлением Правления

Агентства Республики Казахстан по регулированию и развитию финансового рынка от __ ____ 202_ года №___

 

 

Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

 

  1. Настоящие Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций (далее – банк), разработаны в соответствии с пунктом 9 статьи 55 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» и определяют требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций.
  2. В Требованиях используются следующие термины и определения:
  • информационно-коммуникационная инфраструктура – совокупность объектов программно-аппаратных средств, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;
  • электронные информационные ресурсы – данные в электронно-цифровой форме, содержащиеся на электронном носителе и в объектах информатизации;
  • информационный актив – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки;
  • основной центр (далее – основной центр) – совокупность программно-технических средств и обслуживающего персонала, обеспечивающих оказание банковских услуг в штатном (повседневном) режиме;
  • резервный центр (далее – резервный центр) – совокупность программно-технических средств и обслуживающего персонала, обеспечивающих оказание банковских услуг при возникновении нестандартных ситуаций или проведении плановых технических работ в основном центре;
  • уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.
  1. В целях обеспечения непрерывности информационно-коммуникационной инфраструктуры банки определяют во внутренних документах план восстановления, порядок его пересмотра и тестирования.
  2. Разработка плана восстановления осуществляется с учетом следующих факторов:

1) виды и характер нестандартных ситуаций, их степень воздействия на деятельность банка;

2) перечень критичных информационных активов с указанием приоритетности их восстановления. Банк осуществляет категорирование информационных активов путем разделения их на критичные и некритичные на основании уровня убытков от нарушения их конфиденциальности, целостности, доступности;

3) ущерб, возникающий при остановке работы критичных информационных активов, и затраты для восстановления их работы.

  1. При указании критичных информационных активов определяются допускаемые сроки их восстановления. Сроки устанавливаются банком в зависимости от критичности простоя в работе критичных информационных активов.
  2. Банк обеспечивает наличие не менее одного резервного центра, находящегося в ином населенном пункте (столице, городе республиканского значения, городе областного значения, городе районного значения), чем основной центр.

Основной и резервный центры банка размещаются на территории Республики Казахстан.

  1. Банк обеспечивает каждый центр (основной и резервный) двумя выделенными каналами связи от разных поставщиков (провайдеров) услуг связи.
  2. План восстановления содержит следующие условия:

1) наличие и место нахождения резервного центра;

2) перечень бизнес–процессов, критичных информационных активов, технических, программных или других средств, обеспечивающих работу критичных информационных активов, восстановление которых требуется в резервном центре;

3) порядок проведения, периодичность и сценарии тестирования функционирования резервного центра информационной системы;

4) порядок восстановления нарушенных критичных информационных активов после ликвидации последствий нестандартных ситуаций, критерии, позволяющие принять решение о завершении работы в нестандартном режиме, и порядок принятия такого решения, а также порядок возврата в штатный режим функционирования.

  1. В целях проверки готовности работы резервного центра и резервных каналов связи для восстановления деятельности критичных информационных активов банк не менее одного раза в год проводит тестирование функционирования резервного центра и резервных каналов связи в соответствии с планом восстановления (далее – тестирование Плана).
  2. Тестирование Плана проводится по разработанной и утвержденной банком программе, предусматривающей описание сценария возникновения нестандартной ситуации, восстанавливаемых рабочих процессов и критичных информационных активов, действий команды восстановления, требований по срокам и месту проведения работ.
  3. По итогам тестирования Плана банком подготавливается документ о результатах тестирования (протокол) с указанием:

1) перечня критичных информационных активов, по которым проведено тестирование, а также места нахождения основного и резервного центров;

2) времени, затраченного на восстановление работы критичных информационных активов;

3) выявленных уязвимостей и предложений по их устранению.

Сведения о результатах тестирования представляются банком в уполномоченный орган в течение пятнадцати рабочих дней после утверждения документа о результатах тестирования уполномоченным органом банка.

  1. При возникновении сбоя (простоя) в работе критичных информационных активов банк обеспечивает восстановление работы основного центра.

При отсутствии возможности восстановления работы основного центра в период минимально допустимого срока восстановления осуществляется перевод критичных информационных активов на работу резервного центра.

Стандартный норматив времени по переводу критичных информационных активов на резервный центр составляет не более четырех часов с момента возникновения сбоя (простоя).

13. В целях организации возобновления доступа клиентов банк предоставляет в уполномоченный орган по защищенным каналам связи перечень актуальных уникальных числовых идентификаторов (IP-адресов) критичных информационных активов, находящихся как в основном, так и в резервном центре. В случае изменения уникальных числовых идентификаторов (IP-адресов) критичных информационных активов, находящихся как в основном, так и в резервном центре, банк незамедлительно информирует уполномоченный орган по защищенным каналам с