Юрист напугал СЕО новыми правилами информационной безопасности в Казахстане
С 12 июля 2026 года в Казахстане меняются правила информационной безопасности на финансовом рынке. АРРФР вводит прямую персональную ответственность глав финорганизаций за любые пробои в защите данных. Подробнее о новых правилах эксклюзивно для Digital Business рассказал юрист, управляющий партнер ТОО «SOLIS Partners» Чингис Оралбаев.
Личная ответственность вместо корпоративной
Новое постановление № 81 лишает топ-менеджмент возможности скрыться за юридическим лицом при крупных инцидентах. Теперь претензии АРРФР будут адресованы конкретному руководителю, что может навсегда закрыть ему путь в банковский сектор.
«Норма представляет собой первый прямой акт казахстанского регулятора, переводящий ответственность за состояние информационной безопасности с уровня финансовой организации на уровень ее первого руководителя», - подчеркивает Чингис Оралбаев.
Подсудное дело
Параллельно с этим обсуждаются поправки в Уголовный кодекс, которые за массовые утечки персональных данных могут привести главу банка на скамью подсудимых. «При их принятии связка «персональная ответственность первого руководителя по постановлению № 81» и «массовая утечка» создает основание для уголовного преследования конкретного лица», — утверждает юрист.
Технический суверенитет и биометрия
Регулятор требует полной локализации критических сервисов. Почтовые серверы для общения с гражданами Казахстана должны физически находиться внутри страны и иметь защиту от подделки адресов.
«Почтовые сервисы, через которые финансовая организация осуществляет взаимодействие с государственными органами и гражданами Республики Казахстан, подлежат функционированию на цифровой инфраструктуре, физически размещенной на территории РК», - говорит собеседник.
Для клиентов
Вводятся новые барьеры безопасности. Любая дистанционная регистрация теперь обязана включать биометрическую проверку по государственным базам в связке с контролем номера телефона. При этом банки обязаны уведомлять АРРФР о любом инциденте, будь то хакерская атака или обычный простой системы более одного часа.
Контроль «аудиторского следа»
Каждое действие в цифровой системе банка теперь должно фиксироваться и храниться до года без возможности удаления. Регулятор требует вести учет всех соединений, авторизаций и изменений настроек безопасности.
«Финансовый сектор представляет собой единственный сегмент, в котором автоматизированная обработка персональных данных и информационная безопасность регулируются одновременно тремя нормативными источниками», - отмечает Чингис Оралбаев.
До 12 июля компаниям необходимо подготовить карту рисков для советов директоров, где будут прописаны сценарии персональной ответственности руководителя и меры их предотвращения. Оралбаев рекомендует провести симуляцию инцидента за две недели до вступления закона в силу, чтобы проверить реальную готовность процедур.