Статья 55 Закона РК О банках и банковской деятельности в Республике Казахстан

Пункт 1. Банк обеспечивает информационную безопасность и непрерывность банковской деятельности на основе следующих принципов:

• 1) соблюдения законодательства и обязательных стандартов – проведение банком регулярных проверок и аудита информационной безопасности на соответствие требованиям законодательства Республики Казахстан и обязательных стандартов в области информационной безопасности;
• 2) вовлеченности руководства – участие, контроль и ответственность со стороны руководителя или члена исполнительного органа банка за обеспечение информационной безопасности и непрерывности банковской деятельности;
• 3) комплексности – реализация банком информационной безопасности на организационном, техническом и кадровом уровнях с учетом внешних и внутренних угроз;
• 4) ограниченного доступа – предоставление банком доступа каждому участнику информационной безопасности только к той информации и ресурсам, которые необходимы и достаточны для выполнения его функциональных обязанностей;
• 5) минимизации хранения данных – хранение банком только той информации и тех данных, которые необходимы и достаточны для выполнения задач, осуществляемых банком;
• 6) мониторинга – фиксирование и своевременный анализ банком действий пользователей и событий в информационно-коммуникационной инфраструктуре банка;
• 7) осведомленности – систематическое повышение и регулярная проверка банком уровня профессиональных знаний и навыков работников банка в области информационной безопасности;
• 8) обновления и тестирования защиты – своевременное обновление банком программного обеспечения и операционных систем, а также проведение банком регулярных проверок на наличие уязвимостей и тестов на проникновение в информационно-коммуникационной инфраструктуре банка;
• 9) непрерывности и восстановления – резервирование банком данных, планирование и тестирование восстановления информационно-коммуникационной инфраструктуры банка.

Пункт 2. Банк обеспечивает наличие системы управления информационной безопасностью, а также соблюдает информационную безопасность в соответствии с требованиями, установленными нормативным правовым актом уполномоченного органа.

Пункт 3. Банк представляет сведения о наличии системы управления информационной безопасностью, а также о соблюдении требований к обеспечению информационной безопасности в Национальный координационный центр информационной безопасности в порядке и сроки, которые определены нормативным правовым актом уполномоченного органа по согласованию с уполномоченным органом в сфере информационной безопасности.

Пункт 4. Банк обеспечивает мониторинг событий информационной безопасности, реагирование на инциденты информационной безопасности в режиме реального времени, а также проведение расследований инцидентов информационной безопасности в порядке, определенном уполномоченным органом.

Пункт 5. Банк предоставляет в уполномоченный орган информацию об уязвимостях в информационно-коммуникационной инфраструктуре, полученную в том числе от третьих сторон, а также о событиях и инцидентах информационной безопасности, включая сведения о нарушениях и сбоях в информационных системах, в порядке и сроки, которые определены нормативным правовым актом уполномоченного органа.

Пункт 6. Банк обеспечивает работу резервного центра обработки данных и резервных каналов связи для обеспечения непрерывности функционирования объектов информационно-коммуникационной инфраструктуры.

Пункт 7. Банк уведомляет клиентов о планируемых работах, проводимых в информационно-коммуникационной инфраструктуре, влияющих на доступность клиентам банковских и иных операций, в порядке и сроки, которые установлены внутренними документами банка и (или) договорами, заключенными с клиентами.

Пункт 8. Банк обеспечивает гарантированный уровень непрерывности предоставления банковских и иных операций клиентам, который устанавливается внутренними документами банка. Указанные внутренние документы банка подлежат размещению на интернет-ресурсе банка.

Пункт 9. Требования к непрерывности работы информационно-коммуникационной инфраструктуры банка устанавливаются нормативным правовым актом уполномоченного органа.

Пункт 10. Требования, установленные настоящей статьей, распространяются на филиалы банков – нерезидентов Республики Казахстан и организации, осуществляющие отдельные виды банковских операций.