Об утверждении Требований к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

14 апреля 2026 г.

В соответствии с пунктами 9 и 10 статьи 55 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

Утвердить прилагаемые Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций.
Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;
в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.
Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Председатель Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка М. Абылкасымова

Утверждены

постановлением Правления

Агентства Республики

Казахстан по регулированию и

развитию финансового рынка

от 31 марта 2026 года № 36

Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды

банковских операций

Настоящие Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, разработаны в соответствии с пунктами 9 и 10 статьи 55 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» и определяют требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций (далее – банк).
В Требованиях используются следующие термины и определения:

информационный актив – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки. Информационный актив подразделяется на критичный и не критичный и определяется банком на основании уровня убытков от нарушения их конфиденциальности, целостности, доступности;
информационно-коммуникационная инфраструктура – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;
основной центр (далее – основной центр) – совокупность программно-технических средств и обслуживающего персонала, обеспечивающих оказание банковских услуг в штатном (повседневном) режиме;
резервный центр (далее – резервный центр) – совокупность программно-технических средств и обслуживающего персонала, обеспечивающих оказание банковских услуг при возникновении нестандартных ситуаций или проведении плановых технических работ в основном центре;
уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций;
электронные информационные ресурсы – данные в электронно-цифровой форме, содержащиеся на электронном носителе и в объектах информатизации.

В целях обеспечения непрерывности информационно-коммуникационной инфраструктуры банки определяют во внутренних документах план восстановления, порядок его пересмотра и тестирования.
Разработка плана восстановления осуществляется с учетом следующих факторов:

виды и характер нестандартных ситуаций, их степень воздействия на деятельность банка;
перечень критичных информационных активов с указанием приоритетности их восстановления;
ущерб, возникающий при остановке работы критичных информационных активов, и затраты для восстановления их работы.

При указании критичных информационных активов определяются сроки их восстановления.
Банк обеспечивает наличие не менее одного резервного центра, находящегося в ином населенном пункте (столице, городе республиканского значения, городе областного значения, городе районного значения), чем основной центр.

Основной и резервный центры банка размещаются на территории Республики Казахстан.

Банк обеспечивает каждый центр (основной и резервный) двумя выделенными каналами связи от разных поставщиков (провайдеров) услуг связи.
План восстановления содержит следующие условия:

наличие и место нахождения резервного центра;
перечень бизнес–процессов, критичных информационных активов, технических, программных или других средств, обеспечивающих работу критичных информационных активов, восстановление которых требуется в резервном центре;
порядок проведения, периодичность и сценарии тестирования функционирования резервного центра информационной системы;
порядок восстановления нарушенных критичных информационных активов после ликвидации последствий нестандартных ситуаций, критерии, позволяющие принять решение о завершении работы в нестандартном режиме, и порядок принятия такого решения, а также порядок возврата в штатный режим функционирования.

В целях проверки готовности работы резервного центра и резервных каналов связи для восстановления деятельности критичных информационных активов банк не менее одного раза в год проводит тестирование функционирования резервного центра и резервных каналов связи в соответствии с планом восстановления (далее – тестирование Плана).
Тестирование Плана проводится по разработанной и утвержденной банком программе, предусматривающей описание сценария возникновения нестандартной ситуации, восстанавливаемых рабочих процессов и критичных информационных активов, действий команды восстановления, требований по срокам и месту проведения работ.
По итогам тестирования Плана банком подготавливается документ о результатах тестирования (протокол) с указанием:

перечня критичных информационных активов, по которым проведено тестирование, а также места нахождения основного и резервного центров;
времени, затраченного на восстановление работы критичных информационных активов;
выявленных уязвимостей и предложений по их устранению.

Сведения о результатах тестирования представляются банком в уполномоченный орган в течение пятнадцати рабочих дней после утверждения документа о результатах тестирования уполномоченным органом банка.

При возникновении сбоя (простоя) в работе критичных информационных активов банк обеспечивает восстановление работы основного центра.

При отсутствии возможности восстановления работы основного центра в период минимально допустимого срока восстановления осуществляется перевод критичных информационных активов на работу резервного центра.

Стандартный норматив времени по переводу критичных информационных активов на резервный центр составляет не более четырех часов с момента возникновения сбоя (простоя).

В целях организации возобновления доступа клиентов банк предоставляет в уполномоченный орган по защищенным каналам связи перечень актуальных уникальных числовых идентификаторов (IP-адресов) критичных информационных активов, находящихся как в основном, так и в резервном центре. В случае изменения уникальных числовых идентификаторов (IP-адресов) критичных информационных активов, находящихся как в основном, так и в резервном центре, банк информирует уполномоченный орган по защищенным каналам связи.