Биз жөнүндөСтандарттарБлог✦ ИИ-баалооБаа алуу →
Башкы бет  /  Блог  /  Банктар үчүн киберкоопсуздук

Борбор Азиядагы банктар үчүн киберкоопсуздук талаптары — 2026-жылдагы толук колдонмо

Борбор Азиядагы банк секторунда санариптештирүү тездик менен өнүгүүдө — мобилдик банкинг, онлайн төлөмдөр жана трансчегаралык которуулар күн сайын көбөйүүдө. Бул өзгөрүүлөр менен бирге киберкоопсуздук коркунучтары да күчөйт. Кыргызстандын Улуттук банкы (НБКР), Казакстандын Улуттук Банкы жана региондогу башка жөнгө салуучулар банктардан маалымат коопсуздугунун жогорку стандарттарын талап кылышат. Бул макалада ISO 27001, PCI DSS, SWIFT CSP талаптары жана BALTUM тажрыйбасы каралат.

КИБЕРКООПСУЗДУК БАНК СЕКТОРУ ISO 27001 PCI DSS

Кыргызстандын Улуттук банкынын (НБКР) киберкоопсуздук талаптары

Кыргыз Республикасынын Улуттук банкы (НБКР) акыркы жылдарда банк секторундагы маалымат коопсуздугуна карата талаптарды олуттуу күчөттү. НБКР 2024-жылдан баштап коммерциялык банктардан төмөнкүлөрдү талап кылат:

  • Маалымат коопсуздугу саясатын иштеп чыгуу жана бекитүү — банктын директорлор кеңеши тарабынан расталган документ
  • Маалымат коопсуздугу боюнча бөлүм же жооптуу адистерди дайындоо (CISO функциясы)
  • Инциденттерге реакция планын түзүү жана аны жылына кеминде бир жолу сыноо
  • Кибертоптулуктар жөнүндө НБКР-га отчёт берүү — 24 сааттын ичинде олуттуу инциденттер тууралуу маалымдоо
  • Тышкы аудит — маалымат коопсуздугу жүйөсүнүн жылдык көз карандысыз текшерүүсү
  • Кызматкерлерди окутуу — фишинг, социалдык инженерия жана маалымат коопсуздугу боюнча дайыма тренингдер

НБКР ошондой эле электрондук төлөм системаларын иштеткен банктардан PCI DSS стандартына шайкеш келүүнү сунуштайт. «Кыргызстандагы Төлөм системалары жөнүндө» мыйзам электрондук төлөмдөрдүн коопсуздугун камсыз кылуу боюнча негизги талаптарды аныктайт.

Казакстандын Улуттук Банкынын маалымат коопсуздугу талаптары

Казакстан Борбор Азиядагы эң чоң финансы рыногу болуп, анын Улуттук Банкы (ҚР ҰБ) маалымат коопсуздугу боюнча катуу ченемдик базаны иштеп чыккан:

  • Маалымат коопсуздугун башкаруу жүйөсү (ISMS) — ISO 27001ге шайкеш маалымат коопсуздугун башкаруу жүйөсүн түзүү банктар үчүн иш жүзүндө милдеттүү
  • Тобокелдиктерди баалоо — банктар жылына кеминде бир жолу маалымат коопсуздугу тобокелдиктерин баалоого милдеттүү
  • Пенетрациялык тестирлөө — банк системаларынын алсыздыктарын аныктоо үчүн жылдык тышкы тестирлөө
  • Бизнестин үзгүлтүксүздүгү — ISO 22301ге шайкеш бизнестин үзгүлтүксүздүгүн камсыз кылуу планы
  • Үчүнчү тараптарды башкаруу — IT жеткирүүчүлөр жана аутсорсинг компаниялары үчүн коопсуздук талаптарын аныктоо

Казакстандын Санариптик өнүктүрүү министрлиги да кибершилтемелерге каршы улуттук стратегияны ишке ашырууда, бул финансы секторуна кошумча талаптарды жүктөйт.

Эмне үчүн Борбор Азиядагы банктарга ISO 27001 керек?

ISO/IEC 27001 — бул маалымат коопсуздугун башкаруу жүйөлөрү (ISMS) үчүн эл аралык стандарт. Борбор Азиядагы банктар үчүн ISO 27001 сертификаттоо төмөнкү себептерден маанилүү:

  • Жөнгө салуучунун талаптары. НБКР жана Казакстан Улуттук Банкы ISO 27001ди маалымат коопсуздугу жүйөсүнүн негизи катары тааныйт. Сертификат регуляторлорго банктын коопсуздук деңгээлин далилдейт.
  • Тобокелдиктерди башкаруу. ISO 27001 системалуу тобокелдиктерди баалоону жана аларга каршы чараларды көрүүнү талап кылат — бул кибершабуулдардын таасирин азайтат.
  • Эл аралык ишенимдүүлүк. Трансчегаралык операцияларда чет элдик банктар-партнёрлор ISO 27001 сертификатын талап кылышат.
  • Инциденттерди башкаруу. Стандарт инциденттерге реакция процесстерин камтыйт — бул НБКР жана Казакстан Улуттук Банкынын отчёттуулук талаптарына шайкеш.
  • Үзгүлтүксүз жакшыртуу. ISO 27001 банктын коопсуздук жүйөсүн дайыма жаңылоону жана жакшыртууну талап кылат.

PCI DSS — карталык төлөмдөрдүн коопсуздугу

PCI DSS (Payment Card Industry Data Security Standard) — Visa, Mastercard жана башка карталык системалардын карта ээлеринин маалыматтарын коргоо үчүн иштеп чыккан стандарт. Борбор Азиядагы банктар үчүн PCI DSS шайкештиги төмөнкү жагдайларда талап кылынат:

  • Карталык эмиссия. Visa же Mastercard карталарын чыгарган банктар PCI DSS талаптарын аткарууга милдеттүү
  • Эквайринг. Соода-тейлөө ишканаларынын карталык төлөмдөрүн кабыл алган банктар
  • Карталык маалыматтарды сактоо жана иштетүү. PAN, CVV жана башка карта маалыматтарын иштеткен бардык уюмдар
  • Процессинг борборлору. Кыргызстан жана Казакстандагы төлөм процессинг компаниялары

PCI DSS v4.0 2025-жылдын март айынан баштап толугу менен күчүнө кирди. Жаңы версияда төмөнкү маанилүү өзгөрүүлөр бар:

  • Максатка багытталган ыкма (customized approach) — банктар өз жагдайына ылайыкталган контролдорду колдоно алышат
  • Көп факторлуу аутентификация (MFA) — карта маалыматтарына мүмкүнчүлүгү бар бардык колдонуучулар үчүн милдеттүү
  • Скрипттердин коопсуздугу — e-commerce жана онлайн төлөм баракчаларындагы скрипттерди көзөмөлдөө
  • Тобокелдиктерди дайыма баалоо — статикалык текшерүүдөн динамикалык тобокелдиктерди башкарууга өтүү

SWIFT CSP — трансчегаралык которуулардын коопсуздугу

SWIFT (Society for Worldwide Interbank Financial Telecommunication) дүйнөдөгү банктар аралык которуулардын негизги тармагы болуп саналат. Борбор Азиядагы бардык банктар SWIFT тармагын колдонушат жана SWIFT Customer Security Programme (CSP) талаптарын аткарууга милдеттүү:

  • Чөйрөнү коргоо. SWIFT инфраструктурасын жалпы IT чөйрөсүнөн изоляциялоо
  • Мүмкүнчүлүктү башкаруу. SWIFT системаларына кирүүнү катуу көзөмөлдөө — минималдуу артыкчылыктар принциби
  • Шабуулдарды аныктоо. SWIFT чөйрөсүндөгү аномалияларды аныктоо жана реакция кылуу жүйөлөрү
  • Маалымат алмашуу. Кибертоптулуктар жөнүндө маалыматты SWIFT жана башка банктар менен алмашуу

SWIFT CSP жыл сайын көз карандысыз баалоону талап кылат. ISO 27001 сертификаты SWIFT CSP талаптарынын көпчүлүгүн жабууга жардам берет, бирок кошумча SWIFT-спецификалык контролдор да зарыл.

Карталык процессинг жана коопсуздук стандарттары

Борбор Азиядагы банктар «Элкарт» (Кыргызстан), «Алтын Асыр» (Түркмөнстан) сыяктуу улуттук жана Visa, Mastercard, UnionPay сыяктуу эл аралык карталык системалар менен иштешет. Ар бир система өз коопсуздук талаптарын коёт:

  • Visa — VTIP (Visa Third-Party Information Security). Visa процессинг кызматтарын көрсөткөн компаниялар үчүн кошумча коопсуздук баалоосу
  • Mastercard — SDP (Site Data Protection). Карта маалыматтарын сактаган жана иштеткен уюмдар үчүн PCI DSS шайкештигин тастыктоо программасы
  • UnionPay — CUPSS. Кытай менен соода-экономикалык байланыштар чыңдалышы менен Борбор Азияда UnionPay катышуусу өсүүдө
  • «Элкарт». Кыргызстандын улуттук төлөм системасы — НБКР «Элкарт» процессингинин коопсуздугуна өзгөчө көңүл бурат

Борбор Азиядагы банктар үчүн комплекстүү коопсуздук алкагы

Банктын толук киберкоопсуздук жүйөсү бир нече стандарт жана алкактарды бириктирүүнү талап кылат:

  1. ISO 27001 — маалымат коопсуздугун башкаруунун негизги алкагы. Тобокелдиктерди баалоо, саясаттар, процедуралар жана контролдорду камтыйт.
  2. PCI DSS — карталык маалыматтардын коопсуздугу. ISO 27001дин үстүнө карта-спецификалык контролдорду кошот.
  3. SWIFT CSP — трансчегаралык которуулардын коопсуздугу. SWIFT инфраструктурасын коргоого багытталган.
  4. ISO 22301 — бизнестин үзгүлтүксүздүгүн башкаруу. Кибершабуулдар жана техникалык бузулуулар учурунда иштин токтобоосун камсыз кылат.
  5. ISO 27701 — жеке маалыматтарды коргоо. Кыргызстандын «Жеке маалыматтар жөнүндө» мыйзамына шайкештикти колдойт.

Бул стандарттарды биргелешип ишке ашыруу контролдордун кайталанышын болтурбайт жана ресурстарды үнөмдөйт.

BALTUM — банк секторунда сертификаттоо боюнча тажрыйба

BALTUM Борбор Азиядагы банк жана финансы секторуна сертификаттоо кызматтарын көрсөтүүдө кеңири тажрыйбага ээ. Биздин команда төмөнкү тармактарда иштеген:

  • Коммерциялык банктар. Кыргызстан жана Казакстандагы банктарга ISO 27001 жана PCI DSS сертификаттоосуна жардам берүү — GAP-талдоодон сертификат алуга чейин.
  • Микрофинансы уюмдары. МФУлар үчүн маалымат коопсуздугу жүйөлөрүн түзүү — НБКР талаптарына ылайык.
  • Төлөм системалары. Процессинг борборлору жана электрондук акча уюмдарынын PCI DSS шайкештигин камсыз кылуу.
  • Финтех компаниялар. Мобилдик төлөм жана электрондук капчык кызматтарын көрсөткөн компанияларга ISO 27001 жана SOC 2 сертификаттоосу.

BALTUM IAF MLA аясындагы аккредиттелген серіктештер менен иштейт — бул сертификаттардын Борбор Азияда да, эл аралык деңгээлде да тааныларын камсыз кылат.

Сертификаттоо процесси — кандай кадамдар?

  1. Алдын ала баалоо (GAP-талдоо). BALTUM консультанты банктын учурдагы маалымат коопсуздугу жүйөсүн ISO 27001 жана PCI DSS талаптары менен салыштырат. Кемчиликтер аныкталат жана иш-чаралар планы түзүлөт.
  2. Жүйөнү куруу жана жакшыртуу. Саясаттар, процедуралар, тобокелдиктерди баалоо, контролдорду ишке ашыруу — BALTUM толук колдоо көрсөтөт.
  3. Ички аудит. Сертификаттоо аудитине чейин ички аудит жүргүзүү — жүйөнүн натыйжалуу иштешин текшерүү.
  4. Сертификаттоо аудити. Аккредиттелген орган Stage 1 (документтерди текшерүү) жана Stage 2 (ишке ашырууну текшерүү) аудиттерин жүргүзөт.
  5. Сертификат алуу. Ийгиликтүү аудиттен кийин 3 жылга жарактуу сертификат берилет, жыл сайынкы көзөмөл аудиттери менен.

Банк секторундагы ISO 27001 сертификаттоосу орточо 4-6 ай убакытты талап кылат. PCI DSS шайкештиги банктын деңгээлине (Level 1-4) жараша 3-12 ай созулушу мүмкүн.

Кийинки кадамдар

Эгер сиздин банк же финансы уюмуңуз киберкоопсуздук стандарттарына шайкеш келүүнү максат кылса — BALTUM жардам берүүгө даяр. Биз сиздин жагдайыңызга ылайыкталган баалоо жүргүзүп, оптималдуу сертификаттоо жол картасын сунуштайбыз. Биз менен байланышыңыз — акысыз алдын ала консультация алыңыз.