В уполномоченный орган в течение 24 часов банки обязаны направлять сведения о:
- эксплуатации уязвимостей в прикладном и системном ПО;
- несанкционированном доступе в информационные системы;
- атаках типа «отказ в обслуживании»;
- заражении серверов вредоносным кодом;
- несанкционированных переводах средств из‑за нарушения контролей;
- сбоях систем идентификации и аутентификации клиентов;
- любых инцидентах, вызвавших простой систем более часа.
Как передаётся информация
Основной канал — автоматизированная система уполномоченного органа (АСОИ), интегрированная с системами безопасности банков. В случае недоступности АСОИ допускается передача данных по телефону и дублирование письмом.
Банки также обязаны сообщать о внешних уязвимостях, выявленных третьими сторонами. Для организаций, входящих в структуру Нацбанка, предусмотрена возможность передачи сведений через цифровые системы Нацбанка, интегрированные с АСОИ.
Персональные данные: что важно учитывать
Инциденты, указанные выше, включая несанкционированный доступ к информационным системам, могут одновременно являться нарушениями безопасности персональных данных. Даже без факта распространения данных сам факт компрометации системы уже может квалифицироваться как утечка персональных данных.
Таким образом, требования в сфере информационной безопасности и защиты персональных данных дополняют друг друга, формируя единый обязательный механизм реагирования на инциденты. Такой подход не только обеспечивает оперативное уведомление и устранение нарушений, но и создает основу для внедрения превентивных мер, направленных на снижение рисков и предотвращение подобных инцидентов в будущем.
Постановление вступает в силу 18 апреля 2026 года.
DRCQ уже много лет оказывает юридическую помощь по вопросам персональных данных. Наши юристы помогут:
- соблюдать нормы РК и других юрисдикций (AIFC Data Protection Rules, GDPR);
- минимизировать риски при обработке данных;
- разработать и внедрить нужные документы и процессы;
- провести комплекс мероприятий по связанным вопросам;
- аудит бизнес-процессов на предмет соблюдения законодательства о персональных данных.
Мы работаем в рамках национального и международного права, а также МФЦА по защите данных.
kz@drc.law +7 (775) 007‑81‑99 DRCQ.law
- эксплуатации уязвимостей в прикладном и системном ПО;
- несанкционированном доступе в информационные системы;
- атаках типа «отказ в обслуживании»;
- заражении серверов вредоносным кодом;
- несанкционированных переводах средств из‑за нарушения контролей;
- сбоях систем идентификации и аутентификации клиентов;
- любых инцидентах, вызвавших простой систем более часа.
Как передаётся информация
Основной канал — автоматизированная система уполномоченного органа (АСОИ), интегрированная с системами безопасности банков. В случае недоступности АСОИ допускается передача данных по телефону и дублирование письмом.
Банки также обязаны сообщать о внешних уязвимостях, выявленных третьими сторонами. Для организаций, входящих в структуру Нацбанка, предусмотрена возможность передачи сведений через цифровые системы Нацбанка, интегрированные с АСОИ.
Персональные данные: что важно учитывать
Инциденты, указанные выше, включая несанкционированный доступ к информационным системам, могут одновременно являться нарушениями безопасности персональных данных. Даже без факта распространения данных сам факт компрометации системы уже может квалифицироваться как утечка персональных данных.
Таким образом, требования в сфере информационной безопасности и защиты персональных данных дополняют друг друга, формируя единый обязательный механизм реагирования на инциденты. Такой подход не только обеспечивает оперативное уведомление и устранение нарушений, но и создает основу для внедрения превентивных мер, направленных на снижение рисков и предотвращение подобных инцидентов в будущем.
Постановление вступает в силу 18 апреля 2026 года.
DRCQ уже много лет оказывает юридическую помощь по вопросам персональных данных. Наши юристы помогут:
- соблюдать нормы РК и других юрисдикций (AIFC Data Protection Rules, GDPR);
- минимизировать риски при обработке данных;
- разработать и внедрить нужные документы и процессы;
- провести комплекс мероприятий по связанным вопросам;
- аудит бизнес-процессов на предмет соблюдения законодательства о персональных данных.
Мы работаем в рамках национального и международного права, а также МФЦА по защите данных.
kz@drc.law +7 (775) 007‑81‑99 DRCQ.law