Правила определяют порядок и сроки предоставления банками, филиалами банков-нерезидентов РК и организациями, осуществляющими отдельные виды банковских операций, информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах.
Предусмотрено, что банк, организация предоставляют в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:
- эксплуатация уязвимостей в прикладном и системном программном обеспечении;
- несанкционированный доступ в информационную систему;
- атака "отказ в обслуживании" на информационную систему или сеть передачи данных;
- заражение сервера вредоносной программой или кодом;
- совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;
- нарушение работы банковских систем идентификации и аутентификации клиента;
- иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.
Информация об инцидентах информационной безопасности предоставляется банком или организацией в течение 24 часов с момента выявления инцидента посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности (АСОИ) и интегрированной с системами информационной безопасности или системами банка, организации, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.
В случае недоступности вышеуказанных систем передача информации об инциденте осуществляется с телефонного номера банка, организации, указанного при регистрации банка, организации в АСОИ, на телефонный номер уполномоченного органа, указанный для связи на интернет ресурсе уполномоченного органа в разделе "Информационная безопасность" с дублированием на бумажном носителе официальным письмом банка, организации.
Банк, организация обеспечивают передачу сведений посредством АСОИ о полученных в том числе от третьих сторон уязвимостях в информационно-коммуникационной инфраструктуре банка, организации, доступных извне периметра защиты, в течение 24 часов с момента их выявления.
Для организаций, входящих в структуру Национального банка, и юридических лиц, 50% и более голосующих акций которых принадлежат Национальному банку, допускается передача сведений об уязвимостях посредством цифровых систем Нацбанка, интегрированных с АСОИ.
Постановление вводится в действие с 18 апреля 2026 года.