В Атырау -10 
С 12 июля 2026 года в Казахстане начнут действовать новые минимальные требования по обеспечению информационной безопасности на финансовом рынке. Соответствующее постановление утвердило Агентство РК по регулированию и развитию финансового рынка.
Документ касается финансовых организаций, которые используют в своей работе цифровые системы и цифровую инфраструктуру. Его цель — регламентировать основные процессы информационной безопасности, включая защиту данных клиентов, работу банковских приложений, электронную почту финансовых организаций, доступ сотрудников и сторонних лиц к цифровым системам, а также порядок реагирования на киберинциденты.
Одно из ключевых изменений для клиентов связано с регистрацией и входом в цифровые сервисы финансовых организаций. В документе предусмотрено, что доступ клиентов к цифровым системам должен осуществляться после идентификации и аутентификации. При этом для доступа извне периметра защиты финансовой организации потребуется применять как минимум два разных фактора аутентификации.
Иными словами, при работе с банковскими и другими финансовыми приложениями пользователям, вероятно, чаще придется подтверждать личность не только паролем, но и дополнительным способом — например, через одноразовый код, устройство, электронную цифровую подпись или биометрию.
Отдельно прописаны требования к дистанционной регистрации клиента. Для подтверждения личности должны применяться как минимум две проверки: биометрическая проверка по изображению лица с использованием государственной базы данных изображений либо биометрии, полученной при личном присутствии клиента, а также проверка владения номером телефона, зарегистрированным в государственной базе мобильных номеров, либо закрытым ключом ЭЦП.
Кроме того, финансовые организации смогут собирать данные, необходимые для последующей идентификации клиента. В их числе — пароль, данные для подключения генератора одноразовых паролей, уникальный идентификатор установки мобильного приложения, характеристики устройства, сертификат ЭЦП, дополнительный номер телефона, биометрические данные и криптографические ключи.
Новые требования также затрагивают внутреннюю работу банков и других финансовых организаций. Руководство каждой организации должно утвердить политику информационной безопасности, а первый руководитель будет нести персональную ответственность за ее обеспечение.
Финансовые организации обязаны будут фиксировать действия пользователей и клиентов в цифровых системах. В частности, должен вестись аудиторский след: события входа, успешной и неуспешной аутентификации, изменения настроек безопасности, прав пользователей, учетных записей и обновлений. Эти данные должны храниться не менее трех месяцев в оперативном доступе и не менее года в архиве либо не менее года в оперативном доступе.
Документ также вводит требования к защите цифровой инфраструктуры. Соединения, выходящие за пределы периметра защиты финансовой организации, должны шифроваться. Работникам не будут предоставляться права локального администратора без необходимости, а на серверах, рабочих станциях, ноутбуках и мобильных устройствах должны использоваться антивирусные системы или решения, контролирующие целостность программной среды.
Отдельный блок касается электронной почты. Почтовые сервисы финансовых организаций, используемые для взаимодействия с госорганами и гражданами Казахстана, должны функционировать только на цифровой инфраструктуре, физически размещенной на территории РК. Кроме того, организации должны публиковать свои казахстанские адреса электронной почты в открытых источниках и пояснять, что именно они используются для связи с гражданами.
Финансовые организации также должны будут незамедлительно сообщать регулятору о серьезных инцидентах информационной безопасности. Среди них — эксплуатация уязвимостей, несанкционированный доступ к цифровым системам, DDoS-атаки, заражение серверов вредоносным программным обеспечением, несанкционированный перевод денег из-за нарушения контролей безопасности, сбои в системах идентификации и аутентификации клиентов, а также иные инциденты, повлекшие простой цифровых систем более одного часа.
Таким образом, новые правила должны усилить защиту клиентов финансовых организаций и повысить ответственность банков и других участников финансового рынка за безопасность цифровых сервисов. Для казахстанцев это может означать более строгие процедуры входа и регистрации в приложениях, более частое использование биометрии, одноразовых кодов и других способов подтверждения личности.