Статья 215-1 Кодекса РК об административных правонарушениях

Пункт 1. Нарушение банковского законодательства Республики Казахстан в сфере обеспечения информационной безопасности, выразившееся в:

• 1) необеспечении банками, филиалами банков – нерезидентов Республики Казахстан, организациями, осуществляющими отдельные виды банковских операций, резервного хранения данных информационных систем, включающих критичные информационные активы, их файлов и настроек, которые обеспечивают восстановление работоспособной копии информационной системы;
• 2) непринятии банками, филиалами банков – нерезидентов Республики Казахстан, организациями, осуществляющими отдельные виды банковских операций, при передаче третьим лицам критичных информационных активов банка, филиала банка – нерезидента Республики Казахстан, организации, осуществляющей отдельные виды банковских операций, мер по исключению возможности доступа третьих лиц к информации, передача которой третьим лицам не допускается в соответствии с гражданским, банковским законодательством Республики Казахстан, законодательством Республики Казахстан о персональных данных и их защите;
• 3) непроведении подразделением по информационной безопасности и (или) подразделением внутреннего аудита банков, филиалов банков – нерезидентов Республики Казахстан, организаций, осуществляющих отдельные виды банковских операций, проверок деятельности структурных подразделений банков, филиалов банков – нерезидентов Республики Казахстан, организаций, осуществляющих отдельные виды банковских операций, в части оценки состояния информационной безопасности;
• 4) отсутствии у банков, филиалов банков – нерезидентов Республики Казахстан, организаций, осуществляющих отдельные виды банковских операций, шифрования телекоммуникационных соединений (за исключением соединений с городской телефонной сетью), выходящих за периметр защиты информационно-коммуникационной инфраструктуры;
• 5) несоблюдении банками, филиалами банков – нерезидентов Республики Казахстан, организациями, осуществляющими отдельные виды банковских операций, правил доступа, установленных на межсетевых экранах, требований по блокированию соединений, не используемых для функционирования информационных активов банка, филиала банка – нерезидента Республики Казахстан, организации, осуществляющей отдельные виды банковских операций, и (или) отсутствии на периметре защиты информационно-коммуникационной инфраструктуры средств обнаружения и предотвращения вторжений;
• 6) предоставлении банками, филиалами банков – нерезидентов Республики Казахстан, организациями, осуществляющими отдельные виды банковских операций, пользователям доступа к критичным информационным активам банка, филиала банка – нерезидента Республики Казахстан, организации, осуществляющей отдельные виды банковских операций, находящимся внутри периметра защиты информационно-коммуникационной инфраструктуры, по незашифрованному каналу из-за пределов периметра защиты информационно-коммуникационной инфраструктуры и (или) предоставлении пользователям доступа к информационным системам, включающим критичные информационные активы, из-за пределов периметра защиты информационно-коммуникационной инфраструктуры без использования методов двухфакторной аутентификации;
• 7) необеспечении банками, филиалами банков – нерезидентов Республики Казахстан, организациями, осуществляющими отдельные виды банковских операций, безопасности доступа пользователей к ресурсам сети Интернет и (или) безопасности использования внешней электронной почты;
• 8) отсутствии в банках, филиалах банков – нерезидентов Республики Казахстан, организациях, осуществляющих отдельные виды банковских операций, перечня администраторов информационных систем, включающих критичные информационные активы, и (или) двойного контроля при исполнении функций администрирования информационных систем, включающих критичные информационные активы, и (или) специальных комплексов контроля использования привилегированных учетных записей;
• 9) отсутствии в критичных информационных активах банков, филиалов банков – нерезидентов Республики Казахстан, организаций, осуществляющих отдельные виды банковских операций, функции аудиторского следа, отражающей события установления соединений, идентификации, аутентификации и авторизации в критичном информационном активе, события модификации настроек безопасности, события модификации групп пользователей и их полномочий, события модификации учетных записей пользователей и их полномочий, события, отражающие установку изменений в информационной системе, события изменения параметров аудита, события изменений системных параметров;
• 10) непроведении банками, филиалами банков – нерезидентов Республики Казахстан, организациями, осуществляющими отдельные виды банковских операций, полугодового сканирования критичных информационных активов на наличие уязвимостей и (или) отсутствии результатов сканирования в виде отчета о состоянии информационной безопасности с указанием рекомендаций о корректирующих мерах по устранению выявленных уязвимостей;
• 11) необеспечении банками, филиалами банков – нерезидентов Республики Казахстан, организациями, осуществляющими отдельные виды банковских операций, надлежащего функционирования службы реагирования на инциденты информационной безопасности, выразившемся в отсутствии перечня событий информационной безопасности, подлежащих мониторингу, источников таких событий, периодичности, порядка и методов мониторинга событий информационной безопасности и (или) отсутствии документов, сведений и фактов, подтверждающих реализацию порядка реагирования на инциденты информационной безопасности;
• 12) неосуществлении службой реагирования на инциденты информационной безопасности банков, филиалов банков – нерезидентов Республики Казахстан, организаций, осуществляющих отдельные виды банковских операций, мониторинга и анализа событий информационной безопасности и (или) классификации и приоритизации инцидентов информационной безопасности;
• 13) необеспечении службой реагирования на инциденты информационной безопасности банков, филиалов банков – нерезидентов Республики Казахстан, организаций, осуществляющих отдельные виды банковских операций, консолидации, систематизации, хранения, целостности и сохранности информации об инцидентах информационной безопасности в журнале учета инцидентов информационной безопасности с отражением информации об инциденте информационной безопасности, принятых мерах и предлагаемых корректирующих мерах, –

Пункт 2. Нарушение банковского законодательства Республики Казахстан в сфере обеспечения информационной безопасности, выразившееся в отсутствии в банках, филиалах банков – нерезидентов Республики Казахстан реализованных процессов по формированию и последующей актуализации перечня критичных информационных активов и (или) отсутствии реализованных процессов по оценке рисков информационной безопасности для критичных информационных активов, –