ПОПУЛЯРНЫЕ ТЕМЫ:
Громкие дела Кадровые перестановки
1401 Телефон доверия
Верховного суда
Пожаловаться
на работу суда
Телефоны доверия
госорганов

Установлены требования к информационной безопасности финорганизаций

Сегодня, 14:48
Автор материала: Эльмира Караева
Хакеры, программисты, кибербезопасность, мошенничество, мошенники, взлом данных, личные данные, персональные данные, утечка персональных данных, утечка данных Фото: freepik

АРРФР РК постановлением от 20 апреля 2026 года утвердило минимальные требования по обеспечению информационной безопасности на финансовом рынке, сообщает prosud.kz.

Целью требований является регламентация основных процессов обеспечения информационной безопасности финансовых организаций, использующих в своей работе цифровые системы и (или) цифровую инфраструктуру.

Руководство финансовой организации утверждает политику информационной безопасности, которая устанавливает подходы к обеспечению информационной безопасности в финансовой организации.

Первый руководитель финансовой организации несет персональную ответственность за обеспечение информационной безопасности финансовой организации.

Финансовая организация обеспечивает ознакомление нового работника с основными внутренними документами и требованиями к обеспечению информационной безопасности под подпись не позднее 5 рабочих дней с момента приема на работу.

Финансовая организация обеспечивает информационную безопасность при доступе к своей цифровой инфраструктуре работников, клиентов финансовой организации, а также лиц, не являющихся работниками или клиентами финансовой организации (третьи лица).

В заключаемых с третьими лицами соглашениях, договорах, в соответствии с которыми третьи лица получают доступ к информации и(или) цифровой инфраструктуре финансовой организации, включаются положения о соблюдении третьими лицами требований к обеспечению информационной безопасности финансовой организации.

Финансовая организация предоставляет в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

  • эксплуатация уязвимостей в прикладном и системном программном обеспечении;
  • несанкционированный доступ в цифровую систему;
  • атака «отказ в обслуживании» на цифровую систему или сеть передачи данных;
  • заражение сервера вредоносной программой или кодом;
  • совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;
  • нарушение работы систем идентификации и аутентификации клиента;
  • иных инцидентах информационной безопасности, повлекших простои цифровых систем более одного часа.

Информация об инцидентах информационной безопасности предоставляется финансовой организацией незамедлительно посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности (АСОИ) или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

В случае недоступности вышеуказанных систем передача информации об инциденте осуществляется с телефонного номера финансовой организации, указанного при регистрации финансовой организации в АСОИ, на телефонный номер уполномоченного органа, указанный для связи на интернет-ресурсе уполномоченного органа в разделе «Информационная безопасность» с дублированием на бумажном носителе официальным письмом финансовой организации.

Финансовая организация реализует меры физической безопасности в помещениях, в том числе организует пропускной и внутриобъектовый режим.

Также должно обеспечиваться  функционирование периметра защиты финансовой организации.

Телекоммуникационные соединения, выходящие за пределы периметра защиты финансовой организации, подлежат шифрованию.

Почтовые сервисы финансовых организаций, используемые в том числе для взаимодействия с государственными органами и гражданами РК, функционируют только на цифровой инфраструктуре, физически размещенной на территории РК (казахстанские адреса электронной почты).

Финансовая организация публикует в общедоступных источниках информацию о своих казахстанских адресах электронной почты с пояснением, что они должны использоваться гражданами РК для взаимодействия с финансовой организацией.

Работникам финансовой организации не предоставляются права доступа локального администратора или аналогичные права доступа, за исключением случаев, когда права доступа локального администратора или права, аналогичные правам доступа локального администратора, требуются для функционирования программного обеспечения, используемого работником для исполнения своих функциональных обязанностей.

Финансовая организация использует антивирусные системы или системы, контролирующие целостность и неизменность программной среды, как на серверах, так и на рабочих станциях, ноутбуках, мобильных устройствах (при наличии технической возможности) финансовой организации.

При этом обеспечивается:

  • наличие лицензий, обновлений и технической поддержки;
  • обеспечение невозможности для конечного пользователя прерывания функционирования данной системы.

В случаях размещения финансовой организацией серверных мощностей в сторонних центрах обработки данных, использования внешних сервисов обработки или хранения данных исключается возможность доступа третьих лиц к информации, передача которой третьим лицам не допускается в соответствии с гражданским, банковским законодательством РК, законодательством РК о персональных данных и их защите.

Резервное копирование цифровых систем и обрабатываемых в них данных обеспечивается финансовой организацией исходя из потребностей в восстановлении после сбоев в работе цифровых систем. Порядок и периодичность резервного копирования, хранения, восстановления данных, периодичность тестирования восстановления работоспособности цифровых систем из резервных копий определяется финансовой организацией во внутренних документах на основе проведенного анализа воздействия на бизнес.

Обеспечение безопасности доступа к цифровым системам

Финансовая организация составляет перечень цифровых систем.

Доступ работников финансовой организации, третьих лиц, с которыми у финансовой организации заключены договорные отношения, (пользователь) или клиентов финансовой организации к цифровым системам финансовой организации осуществляется по результатам процедуры идентификации и аутентификации, за исключением цифровых систем, по которым внутренним документом финансовой организации утвержден иной порядок доступа с обоснованием его целесообразности и безопасности.

В цифровых системах финансовой организации используется функция ведения аудиторского следа, которая отражает как минимум:

  • события установления соединений, идентификации, аутентификации и авторизации (успешные и неуспешные), включая IP-адрес источника соединения;
  • события модификации настроек безопасности;
  • события модификации групп пользователей и их полномочий;
  • события модификации учетных записей пользователей и их полномочий;
  • события, отражающие установку обновлений и (или) изменений;
  • события изменения параметров ведения аудиторского следа.

При хранении аудиторского следа обеспечивается контроль его неизменности. Срок хранения аудиторского следа составляет не менее 3 месяцев в оперативном доступе и не менее 1 года в архивном доступе, либо не менее 1 года в оперативном доступе.

Идентификация и аутентификация пользователя или клиента осуществляется при помощи одного или нескольких факторов, включая знание, владение или неотъемлемость. Фактор знания основывается на информации, которую должен знать пользователь или клиент. Фактор владения основывается на владении пользователя или клиента определенным физическим устройством или криптографическим ключом. Фактор неотъемлемости основывается на уникальных биометрических особенностях пользователя или клиента.

Доступ пользователей и клиентов извне периметра защиты финансовой организации к цифровым системам осуществляется с применением как минимум двух различных факторов аутентификации.

Доступ работника финансовой организации к цифровым системам осуществляется в соответствии с внутренними документами финансовой организации при наличии утвержденных документов финансовой организации, подтверждающих необходимость такого доступа для исполнения обязанностей работника.

Доступ третьих лиц к цифровым системам осуществляется в соответствии при наличии действующего договора, предусматривающего необходимость такого доступа третьим лицам к цифровым системам финансовой организации.

Идентификация и аутентификация клиента финансовой организации осуществляется на основании данных, полученных при регистрации клиента финансовой организации.

Регистрация клиента в цифровых системах финансовой организации осуществляется после подтверждения личности клиента.

Для дистанционного подтверждения личности при регистрации применяется комбинация как минимум из следующих проверок:

  • биометрическая проверка клиента по изображению лица с использованием государственной базы данных изображений или по биометрическим данным, полученным при личном присутствии клиента посредством специально предназначенных для этого устройств финансовой организации;
  • проверка владения телефонным номером, зарегистрированным в государственной базе номеров мобильных телефонов граждан, либо проверка владения закрытым ключом сертификата электронной цифровой подписи, выпущенного аккредитованным удостоверяющим центром.

В целях последующей идентификации и аутентификации клиента в ходе регистрации допускается сбор следующих данных:

  • пароль, задаваемый клиентом;
  • вектор инициализации, серийный номер или иная информация, необходимая для подключения аппаратного или программного генератора одноразовых паролей (OTP-генератора);
  • уникальный идентификатор установки мобильного приложения на мобильное устройство, а также индивидуальные характеристики мобильного устройства;
  • сертификат электронной цифровой подписи, соответствующий закрытому ключу, хранимому на устройстве клиента;
  • дополнительный номер мобильного телефона, владение клиента которым подтверждено;
  • биометрические данные клиента, проверенные посредством государственной базы данных изображений или полученные посредством устройств финансовой организации;
  • открытый криптографический ключ, соответствующий закрытому криптографическому ключу, хранимому на устройстве клиента.

Проверка владения мобильным телефонным номером осуществляется путем отправки на проверяемый мобильный телефонный номер сгенерированного непредсказуемого кода с последующим получением данного кода от владельца мобильного телефонного номера аутентифицирующей системой.

Проверка владения закрытым ключом сертификата ЭЦП осуществляется в соответствии с правилами аккредитованного удостоверяющего центра, выпустившего данный сертификат ЭЦП.

Постановление вводится в действие с 12 июля.

Последние новости Все
Все новости
Читайте также:
Вывеска магазина
Как согласовать размещение вывески: новые правила
музей музыкальных инструментов в городе Алматы
Для организаций по охране историко-культурного наследия утвердили правила работы
Интернет, сеть, цифровизация, цифровые технологии, цифровые документы, digital, современные технологии, цифровизация
Регистрация сделок с цифровыми финансовыми активами: утверждены правила