30.04.2026
Минимальные требования к информационной безопасности на финансовом рынке: вступление в силу 12 июля 2026 года
Чингис Оралбаев,
управляющий партнёр ТОО «SOLIS Partners»,
практика TMT · IT · защита персональных данных
Ключевые тезисы:
— Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 20 апреля 2026 года № 81 устанавливает минимальные требования к обеспечению информационной безопасности на финансовом рынке.
— Постановление вступает в силу 12 июля 2026 года и распространяется на банки, страховые и перестраховочные организации, страховых брокеров, профессиональных участников рынка ценных бумаг, фондовую биржу, центральный депозитарий, организации, осуществляющие отдельные виды банковских операций, и организации микрофинансирования.
— Пункт 4 главы 2 Постановления вводит прямую персональную ответственность первого руководителя финансовой организации за обеспечение информационной безопасности.
— Параллельное Постановление Правления АФР от 20 апреля 2026 года № 74 синхронизирует требования к правилам внутреннего контроля по ПОД/ФТ с понятийным аппаратом Цифрового кодекса.
Контекст
20 апреля 2026 года Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка приняло два связанных постановления: № 74 «О внесении изменений и дополнений в нормативные правовые акты Республики Казахстан по вопросам регулирования и развития финансового рынка», касающееся правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов и финансированию терроризма, и № 81 «Об утверждении минимальных требований по обеспечению информационной безопасности на финансовом рынке». Оба постановления вступают в силу 12 июля 2026 года.
Указанные акты приняты в развитие положений Цифрового кодекса № 255-VIII и Закона «Об информатизации» применительно к специфике финансового сектора. По нашему мнению, постановление № 81 — наиболее значимое подзаконное событие 2026 года в сфере регулирования информационной безопасности и заслуживает особого внимания со стороны органов управления финансовых организаций.
Персональная ответственность первого руководителя
Пункт 4 главы 2 минимальных требований, утверждённых постановлением № 81, в неизменённом виде закрепляет следующее положение:
«Первый руководитель финансовой организации несёт персональную ответственность за обеспечение информационной безопасности финансовой организации».
Норма представляет собой первый прямой акт казахстанского регулятора, переводящий ответственность за состояние информационной безопасности с уровня финансовой организации на уровень её первого руководителя. По нашему мнению, указанная конструкция имеет три самостоятельные плоскости последствий.
Регуляторная плоскость
У АФР возникает прямое нормативное основание адресовать претензии при нарушении режима ИБ персонально первому руководителю, а не только финансовой организации. С учётом формализованных квалификационных требований к топ-менеджменту банков, страховщиков, брокеров и иных субъектов финансового рынка, фиксация персональной ответственности в материалах надзорного дела имеет долгосрочный эффект, выходящий за пределы конкретного места работы.
Административная плоскость
Параллельно с санкциями, адресованными финансовой организации, действуют статьи Кодекса об административных правонарушениях, относящие ответственность к должностным лицам. В результате один и тот же эпизод может одновременно повлечь штраф для организации и самостоятельную административную ответственность первого руководителя.
Уголовная плоскость
На дату публикации настоящего материала Правительством Республики Казахстан публично анонсированы поправки в Уголовный кодекс, вводящие ответственность за массовую утечку персональных данных. Уголовные поправки находятся на стадии обсуждения и не приняты. При их принятии связка «персональная ответственность первого руководителя по постановлению № 81» и «массовая утечка» создаёт основание для уголовного преследования конкретного лица. Постановление № 81 заранее определяет круг таких лиц применительно к финансовому сектору.
Иные требования постановления
Уведомление об инцидентах
Финансовая организация обязана незамедлительно уведомлять АФР о выявленных инцидентах информационной безопасности через автоматизированную систему уполномоченного органа (АСОИ). К числу инцидентов, подлежащих уведомлению, постановление прямо относит: эксплуатацию уязвимостей в программном обеспечении, несанкционированный доступ в цифровую систему, DDoS-атаки, заражение серверов вредоносным кодом, несанкционированные переводы денежных средств, нарушения работы систем идентификации клиента, иные инциденты, повлёкшие простой систем более одного часа.
Локализация почтовых сервисов
Почтовые сервисы, через которые финансовая организация осуществляет взаимодействие с государственными органами и гражданами Республики Казахстан, подлежат функционированию на цифровой инфраструктуре, физически размещённой на территории РК, с обязательным применением механизмов SPF, DKIM и DMARC.
Двухфакторная аутентификация и режим доступа
Доступ пользователей и клиентов извне периметра защиты обеспечивается с использованием не менее двух независимых факторов аутентификации. Дистанционная регистрация клиента осуществляется с применением биометрической проверки по государственной базе данных изображений в сочетании с проверкой владения телефонным номером или закрытым ключом электронной цифровой подписи.
Аудиторский след
Постановление устанавливает обязательность ведения аудиторского следа в цифровых системах финансовой организации с минимальным сроком хранения три месяца в оперативном доступе и один год в архивном (либо один год в оперативном) и обеспечением контроля неизменности. К событиям, подлежащим обязательной фиксации, отнесены: соединения, идентификация, авторизация, изменение настроек безопасности и учётных записей, установка обновлений.
Третьи лица и центры обработки данных
При размещении серверных мощностей в сторонних центрах обработки данных и использовании внешних сервисов обработки или хранения данных финансовая организация обязана исключить возможность доступа третьих лиц к информации, передача которой не допускается законодательством, в том числе Законом о персональных данных. Указанное требование развёртывается в полноценные соглашения об обработке (Data Processing Agreements) с провайдерами, описание мер защиты и регулярный аудит выполнения.
Постановление № 74: терминологическая синхронизация по ПОД/ФТ
Параллельное постановление № 74 переписывает требования к правилам внутреннего контроля в целях противодействия легализации (отмыванию) доходов и финансированию терроризма для семи категорий субъектов финансового мониторинга: банков второго уровня, единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов, профессиональных участников рынка ценных бумаг и центрального депозитария, страховых (перестраховочных) организаций и страховых брокеров, фондовой биржи, организаций, осуществляющих отдельные виды банковских операций, и организаций микрофинансирования.
Содержательное ядро изменений — терминологическая синхронизация: «информационные системы» приводятся к «цифровым системам», «электронные ресурсы» — к «цифровым ресурсам». Внутренние правила, регламенты и положения, ссылающиеся на прежнюю терминологию, после 12 июля 2026 года формально утрачивают синхронизацию с действующей редакцией требований к ПВК. Терминологическая ревизия документации представляет собой задачу ограниченного объёма, однако относится к обязательным действиям.
Связь с режимом персональных данных и ИИ
По нашему наблюдению, финансовый сектор представляет собой единственный сегмент, в котором автоматизированная обработка персональных данных и информационная безопасность регулируются одновременно тремя нормативными источниками. Это требование ставит перед органами управления финансовой организации задачу по обеспечению согласованности между описанием системы в публичной политике конфиденциальности (по статье 19-1 Закона о ПД), описанием системы для целей информационной безопасности (по постановлению № 81) и информированием пользователя о факте взаимодействия с системой ИИ (по статье 21 Закона об ИИ). Расхождения между указанными уровнями описания типично выявляются в ходе проверки и квалифицируются как самостоятельные нарушения.
Рекомендуемые действия до 12 июля 2026 года
По нашему опыту сопровождения compliance-проектов в финансовом секторе, минимально работающий пакет регуляторных документов, реалистичный к подготовке за оставшийся горизонт, включает следующие позиции.
• Политика информационной безопасности, утверждённая первым руководителем (документ верхнего уровня, на который ссылаются нижестоящие регламенты).
• Регламент классификации цифровых систем по критичности (в соответствии с подходом, заданным главой 4 постановления № 81).
• Матрица реагирования на инцидент с распределением ролей и фиксированными сроками (с учётом параллельного режима уведомления уполномоченного органа по ПДн в течение одного рабочего дня).
• Шаблон уведомления АФР через АСОИ с заполняемыми полями.
• Шаблон уведомления уполномоченного органа по ПДн с минимальным составом информации, установленным подзаконными правилами.
• Регламент управления учётными записями и правами доступа, включающий обязательную двухфакторную аутентификацию для доступа извне периметра.
• Регламент аудиторского следа с указанием сроков хранения и порядка контроля неизменности.
• Регламент дистанционной регистрации клиента, синхронизированный с режимом надлежащей проверки клиента по постановлению № 74.
• Реестр обработчиков (третьих лиц) с проверенной полнотой DPA и ИБ-обязательств, включая операторов сторонних центров обработки данных.
• Карта рисков для совета директоров с описанием сценариев персональной ответственности первого руководителя и компенсирующего контроля.
По нашему опыту, наиболее эффективный сценарий внедрения предполагает три последовательных этапа: инвентаризация существующих документов, переработка/разработка недостающих, симуляция инцидента примерно за две недели до 12 июля 2026 года для верификации работоспособности процедур.
Чингис Оралбаев
Управляющий партнёр, ТОО «SOLIS Partners»
ch.oralbayev@solispartners.kz
ТОО «SOLIS Partners» · Казахстан · www.solispartners.kz
Настоящий материал подготовлен в информационных целях по состоянию на дату публикации и не является юридической консультацией. Применение приведённых норм к конкретным обстоятельствам требует отдельного анализа. © 2026 ТОО «SOLIS Partners». Все права защищены.