Изменились требования к информационной безопасности банков ᐈ prosud.kz

В частности, поправки внесли в Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов РК и организаций, осуществляющих отдельные виды банковских операций. Данные изменения начнут действовать с 1 ноября текущего года.

Банк, организация определяют возможность возложения на подразделение по информационной безопасности функций по обеспечению технической безопасности. Подразделение по информационной безопасности не осуществляет функции, влекущие конфликт интересов с их основными функциями.

Также говорится, что информация о СУИБ составляется в произвольной форме и представляется в уполномоченный орган в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных, или посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности или на бумажном носителе.

Добавлена норма следующего содержания:

Банк, организация проводят внешнюю проверку состояния системы управления информационной безопасностью банка, организации в объеме, определяемом исполнительным органом банка, организации, на соответствие национальному стандарту РК СТ ISO/IEC 27001-2023 "Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы менеджмента информационной безопасности. Требования" или международному стандарту ISO/IEC 27001:2022 (Информационная безопасность, кибербезопасность и защита частной жизни – Системы менеджмента информационной безопасности) не реже одного раза в 3 года.

С периодичностью, определяемой банком, организацией, проводится тестирование на проникновение в информационную инфраструктуру независимыми внешними экспертами в данной области. В рамках данного тестирования, кроме поиска и попыток эксплуатации уязвимостей системного и прикладного программного обеспечения, проводятся нагрузочные тесты, включая имитацию атак "отказ в обслуживании".

Также вносится дополнение:

При аутентификации клиента в мобильном приложении на ранее не зарегистрированном за клиентом в банке, организации мобильном устройстве банк, организация проводят биометрическую идентификацию клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка, организации.

Мобильное приложение обеспечивает:

однозначность идентификации принадлежности мобильного приложения банку, организации (данные в официальном магазине приложений, логотипы, корпоративные цвета);
блокировку функционала по оказанию дистанционных услуг банка, организации в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;
уведомление клиента о наличии обновлений мобильного приложения;
возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;
хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;
исключение кэширования конфиденциальных данных;
исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;
информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;
информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного банком, организацией номера мобильного телефона;
в ходе осуществления операций с денежными средствами – передачу в серверное ППО банка, организации геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения;
блокировку функционала по осуществлению операций с денежными средствами в случае обнаружения активного доступа к микрофону мобильного устройства в порядке, определяемом банком, организацией, при наличии разрешения от клиента либо передачу в серверное ППО банка, организации информации об отсутствии такого разрешения.

Банк, организация обеспечивают на своей стороне:

обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;
идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;
проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода;
хранение записей событий обнаружения процессов удаленного управления и признаков нарушения целостности и (или) обхода защитных механизмов операционной системы в мобильных приложениях клиентов на устройствах, зарегистрированных в банке, организации, а также действий по блокировке функционала мобильных приложений клиентов;
хранение записей о неудачных попытках аутентификации и об информировании клиентов об этих попытках.

Помимо этого вносятся поправки в Правила и сроки предоставления информации об инцидентах информационной безопасности.

Банк, организация предоставляют в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

эксплуатация уязвимостей в прикладном и системном программном обеспечении;
несанкционированный доступ в информационную систему;
атака "отказ в обслуживании" на информационную систему или сеть передачи данных;
заражение сервера вредоносной программой или кодом;
совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;
нарушение работы банковских систем идентификации и аутентификации клиента;
иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.

Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется банком или организацией незамедлительно посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности (далее – АСОИ) и интегрированной с системами информационной безопасности или системами банка, организации, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

В случае недоступности вышеуказанных систем передача информации об инциденте осуществляется с телефонного номера банка, организации, указанного при регистрации банка, организации в АСОИ, на телефонный номер уполномоченного органа, указанный для связи на интернет ресурсе уполномоченного органа в разделе "Информационная безопасность" с дублированием на бумажном носителе официальным письмом банка, организации.

Поправки коснулись и Правил проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями.

В документе уточняется, что сличение биометрических данных осуществляется путем сравнения изображения лица идентифицируемого, полученного по результатам проверки достоверности изображения, с эталонным изображением лица идентифицируемого. Порядок формирования результата сличения изображений определяется провайдером биометрической идентификации.

Помимо этого, обновлены Правила подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций.

К АСОИ подключается подразделение информационной безопасности финансовой организации, а также оперативный центр информационной безопасности финансовой организации (ОЦИБ) при его наличии.

Для создания профиля финансовой организации и ОЦИБ в АСОИ ответственный работник представляет в отраслевой центр ИБ следующие учетные данные финансовой организации:

наименование финансовой организации и ОЦИБ;
бизнес-идентификационный номер юридического лица;
адрес электронной почты.

Для создания учетной записи пользователя финансовой организации и ОЦИБ в АСОИ ответственный работник представляет в отраслевой центр ИБ следующие учетные данные пользователя:

фамилия, имя, отчество (при наличии);
должность;
наименование организации;
контактные телефоны;
адрес электронной почты.

Для передачи сигналов в АСОИ банки, филиалы банков-нерезидентов Республики Казахстан (далее – банки), организации, осуществляющие отдельные виды банковских операций (далее – организации) и (или) ОЦИБ осуществляют установку модуля интеграции, предоставленного отраслевым центром ИБ, в инфраструктуре банка, организации, ОЦИБ с его подключением к системам ИБ или системам, осуществляющим в реальном времени сбор и анализ информации о событиях ИБ в информационной инфраструктуре банка, организации.

Сигналы передаются банками, организациями, ОЦИБ в АСОИ в случае выявления следующих событий ИБ:

выявление вредоносной активности IPS/IDS (система обнаружения и предотвращения вторжений);
выявление вредоносной активности WAF (сетевой фильтр веб-приложений);
выявление вредоносной активности системой защиты конечных точек;
получение вредоносного кода;
получение фишингового сообщения;
сетевое сканирование IP-адресов на предмет выявления активных сетевых служб;
перебор пароля к учетной записи (на внешнем периметре);
перебор учетных записей к паролю (на внешнем периметре).

Банк, организация обеспечивает интернет-канал для связи модуля интеграции с АСОИ.

Постановление вводится в действие с 9 сентября 2025 года за исключением норм, которые вводятся с 1 ноября 2025 года.