В Казахстане с 12 июля вводят новые требования по информационной безопасности для финансового рынка

С 12 июля 2026 года в Казахстане начнут действовать обновлённые правила по обеспечению информационной безопасности в финансовых организациях, сообщает azh.kz. Новые нормы затрагивают работу цифровых сервисов, защиту данных клиентов и порядок реагирования на киберинциденты.

Агентство по регулированию и развитию финансового рынка утвердило постановление, которое устанавливает минимальные требования к информационной безопасности для финансовых организаций, использующих цифровые системы и инфраструктуру.

Документ регулирует процессы защиты клиентских данных, работу банковских приложений, электронную почту организаций, а также доступ сотрудников и сторонних лиц к цифровым системам. Особое внимание уделено процедурам реагирования на киберинциденты.

Для клиентов вводится обязательная идентификация и аутентификация при входе в цифровые сервисы. При доступе из-за пределов периметра защиты финансовой организации потребуется использовать минимум два фактора аутентификации. Это может быть пароль в сочетании с одноразовым кодом, электронно-цифровой подписью, биометрией или другим способом подтверждения личности.

Отдельно прописаны требования к дистанционной регистрации клиентов. Для подтверждения личности необходимо пройти две проверки: биометрическую по изображению лица с использованием государственной базы данных или биометрии, полученной при личном присутствии, а также проверку владения номером телефона из государственной базы или закрытым ключом ЭЦП.

Финансовые организации смогут собирать дополнительные данные для идентификации клиентов, включая пароли, данные для генераторов одноразовых паролей, уникальные идентификаторы мобильных приложений, характеристики устройств, сертификаты ЭЦП, дополнительные номера телефонов, биометрические данные и криптографические ключи.

Внутренняя работа финансовых организаций также подвергнется изменениям. Руководство должно утвердить политику информационной безопасности, а первый руководитель будет нести персональную ответственность за её выполнение.

Организации обязаны вести аудит действий пользователей в цифровых системах: фиксировать события входа, успешной и неуспешной аутентификации, изменения настроек безопасности, прав пользователей и обновления. Эти данные должны храниться в оперативном доступе не менее трёх месяцев и в архиве или оперативном доступе не менее года.

Для защиты цифровой инфраструктуры установлены требования к шифрованию соединений за пределами периметра защиты, ограничению прав локальных администраторов и обязательному использованию антивирусных систем или решений для контроля целостности программной среды на серверах, рабочих станциях, ноутбуках и мобильных устройствах.

Почтовые сервисы финансовых организаций, используемые для взаимодействия с государственными органами и гражданами, должны работать только на инфраструктуре, расположенной на территории Казахстана. Также организации обязаны публиковать казахстанские адреса электронной почты в открытых источниках с указанием их назначения.

Финансовые организации должны оперативно информировать регулятора о серьёзных инцидентах информационной безопасности, таких как эксплуатация уязвимостей, несанкционированный доступ, DDoS-атаки, заражение вредоносным ПО, несанкционированные переводы, сбои в системах идентификации и аутентификации, а также другие инциденты, вызвавшие простой цифровых систем более одного часа.

Что известно: новые требования направлены на повышение защиты клиентов и усиление ответственности финансовых организаций за безопасность цифровых сервисов, что приведёт к более строгим процедурам входа и регистрации, а также более частому использованию биометрии и многофакторной аутентификации.