ПОПУЛЯРНЫЕ ТЕМЫ:
Громкие дела Кадровые перестановки
1401 Телефон доверия
Верховного суда
Пожаловаться
на работу суда
Телефоны доверия
госорганов

Изменились требования к информационной безопасности банков

Сегодня, 15:12
Автор материала: Эльмира Караева
Хакеры, программисты, кибербезопасность, мошенничество, мошенники, взлом данных, личные данные, персональные данные, утечка персональных данных, утечка данных Фото: pixabay

Агентство РК по регулированию и развитию финансового рынка постановлением от 20 августа 2025 года внесло изменения по вопросам информационной безопасности, сообщает prosud.kz.

В частности, поправки внесли в Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов РК и организаций, осуществляющих отдельные виды банковских операций. Данные изменения начнут действовать с 1 ноября текущего года.

Банк, организация определяют возможность возложения на подразделение по информационной безопасности функций по обеспечению технической безопасности. Подразделение по информационной безопасности не осуществляет функции, влекущие конфликт интересов с их основными функциями.

Также говорится, что информация о СУИБ составляется в произвольной форме и представляется в уполномоченный орган в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных, или посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности или на бумажном носителе.

Добавлена норма следующего содержания:

Банк, организация проводят внешнюю проверку состояния системы управления информационной безопасностью банка, организации в объеме, определяемом исполнительным органом банка, организации, на соответствие национальному стандарту РК СТ ISO/IEC 27001-2023 "Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы менеджмента информационной безопасности. Требования" или международному стандарту ISO/IEC 27001:2022 (Информационная безопасность, кибербезопасность и защита частной жизни – Системы менеджмента информационной безопасности) не реже одного раза в 3 года.

С периодичностью, определяемой банком, организацией, проводится тестирование на проникновение в информационную инфраструктуру независимыми внешними экспертами в данной области. В рамках данного тестирования, кроме поиска и попыток эксплуатации уязвимостей системного и прикладного программного обеспечения, проводятся нагрузочные тесты, включая имитацию атак "отказ в обслуживании".

Также вносится дополнение:

При аутентификации клиента в мобильном приложении на ранее не зарегистрированном за клиентом в банке, организации мобильном устройстве банк, организация проводят биометрическую идентификацию клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка, организации.

Мобильное приложение обеспечивает:

  • однозначность идентификации принадлежности мобильного приложения банку, организации (данные в официальном магазине приложений, логотипы, корпоративные цвета);
  • блокировку функционала по оказанию дистанционных услуг банка, организации в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;
  • уведомление клиента о наличии обновлений мобильного приложения;
  • возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;
  • хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;
  • исключение кэширования конфиденциальных данных;
  • исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;
  • информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;
  • информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного банком, организацией номера мобильного телефона;
  • в ходе осуществления операций с денежными средствами – передачу в серверное ППО банка, организации геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения;
  • блокировку функционала по осуществлению операций с денежными средствами в случае обнаружения активного доступа к микрофону мобильного устройства в порядке, определяемом банком, организацией, при наличии разрешения от клиента либо передачу в серверное ППО банка, организации информации об отсутствии такого разрешения.

Банк, организация обеспечивают на своей стороне:

  • обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;
  • идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;
  • проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода;
  • хранение записей событий обнаружения процессов удаленного управления и признаков нарушения целостности и (или) обхода защитных механизмов операционной системы в мобильных приложениях клиентов на устройствах, зарегистрированных в банке, организации, а также действий по блокировке функционала мобильных приложений клиентов;
  • хранение записей о неудачных попытках аутентификации и об информировании клиентов об этих попытках.

Помимо этого вносятся поправки в Правила и сроки предоставления информации об инцидентах информационной безопасности.

Банк, организация предоставляют в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

  • эксплуатация уязвимостей в прикладном и системном программном обеспечении;
  • несанкционированный доступ в информационную систему;
  • атака "отказ в обслуживании" на информационную систему или сеть передачи данных;
  • заражение сервера вредоносной программой или кодом;
  • совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;
  • нарушение работы банковских систем идентификации и аутентификации клиента;
  • иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.

Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется банком или организацией незамедлительно посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности (далее – АСОИ) и интегрированной с системами информационной безопасности или системами банка, организации, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

В случае недоступности вышеуказанных систем передача информации об инциденте осуществляется с телефонного номера банка, организации, указанного при регистрации банка, организации в АСОИ, на телефонный номер уполномоченного органа, указанный для связи на интернет ресурсе уполномоченного органа в разделе "Информационная безопасность" с дублированием на бумажном носителе официальным письмом банка, организации.

Поправки коснулись и Правил проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями.

В документе уточняется, что сличение биометрических данных осуществляется путем сравнения изображения лица идентифицируемого, полученного по результатам проверки достоверности изображения, с эталонным изображением лица идентифицируемого. Порядок формирования результата сличения изображений определяется провайдером биометрической идентификации.

Помимо этого, обновлены Правила подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций.

К АСОИ подключается подразделение информационной безопасности финансовой организации, а также оперативный центр информационной безопасности финансовой организации (ОЦИБ) при его наличии.

Для создания профиля финансовой организации и ОЦИБ в АСОИ ответственный работник представляет в отраслевой центр ИБ следующие учетные данные финансовой организации:

  • наименование финансовой организации и ОЦИБ;
  • бизнес-идентификационный номер юридического лица;
  • адрес электронной почты.

Для создания учетной записи пользователя финансовой организации и ОЦИБ в АСОИ ответственный работник представляет в отраслевой центр ИБ следующие учетные данные пользователя:

  • фамилия, имя, отчество (при наличии);
  • должность;
  • наименование организации;
  • контактные телефоны;
  • адрес электронной почты.

Для передачи сигналов в АСОИ банки, филиалы банков-нерезидентов Республики Казахстан (далее – банки), организации, осуществляющие отдельные виды банковских операций (далее – организации) и (или) ОЦИБ осуществляют установку модуля интеграции, предоставленного отраслевым центром ИБ, в инфраструктуре банка, организации, ОЦИБ с его подключением к системам ИБ или системам, осуществляющим в реальном времени сбор и анализ информации о событиях ИБ в информационной инфраструктуре банка, организации.

Сигналы передаются банками, организациями, ОЦИБ в АСОИ в случае выявления следующих событий ИБ:

  • выявление вредоносной активности IPS/IDS (система обнаружения и предотвращения вторжений);
  • выявление вредоносной активности WAF (сетевой фильтр веб-приложений);
  • выявление вредоносной активности системой защиты конечных точек;
  • получение вредоносного кода;
  • получение фишингового сообщения;
  • сетевое сканирование IP-адресов на предмет выявления активных сетевых служб;
  • перебор пароля к учетной записи (на внешнем периметре);
  • перебор учетных записей к паролю (на внешнем периметре).

Банк, организация обеспечивает интернет-канал для связи модуля интеграции с АСОИ.

Постановление вводится в действие с 9 сентября 2025 года за исключением норм, которые вводятся с 1 ноября 2025 года.

Последние новости Все
Все новости
Читайте также:
Водохранилище, водохранилища, плотина, плотины, водная инфраструктура, водные ресурсы, дамба, дамбы
Определен отраслевой центр информационной безопасности в сфере водоснабжения
Огнетушитель в помещении
Как получить заключение о соответствии объекта требованиям пожарной безопасности
Лекарственные препараты, лекарства, лекарство, аптека, аптеки, цены на лекарства, медикаменты, таблетки, цены на лекарство, стоимость лекарств
Экспертиза лекарств и медизделий: изменения в правилах
Вертолет МЧС над водоемом
Где применяют воинские части гражданской обороны в мирное время
Деньги, тенге
Средства Специального государственного фонда будут использовать по-новому
Кредит, кредитование, займ, долг, ипотека
Долговую нагрузку заемщика будут рассчитывать по-новому