Поправками предусмотрено, что руководители структурных подразделений кредитного бюро:
- обеспечивают ознакомление работников с внутренними документами кредитного бюро, содержащими требования к информационной безопасности (далее – требования к информационной безопасности);
- несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях;
- обеспечивают заключение соглашений о неразглашении конфиденциальной информации и включение условий об обеспечении информационной безопасности в соглашения, договоры на оказание услуг/выполнение работ в случаях, когда подразделение кредитного бюро выступает инициатором заключения таких соглашений, договоров.
Доступ к информационным активам кредитного бюро третьих лиц предоставляется на период и в объеме, определяемыми проводимыми работами на основании соглашения, договора, включающего условия о соблюдении требований к информационной безопасности, за исключением случаев, предусмотренных законодательством РК.
В соглашениях, договорах, заключаемых с поставщиком информации получателем кредитных отчетов, третьими лицами, содержатся положения о конфиденциальности, условия о возмещении ущерба, возникшего вследствие нарушения информационной безопасности, а также сбоев в работе информационных систем и нарушения их безопасности, вызванных действием или бездействием кредитного бюро, поставщика информации, получателя кредитных отчетов, третьих лиц.
Кредитное бюро ежегодно, не позднее 20 января года, следующего за отчетным годом, представляет в уполномоченный орган информацию о состоянии системы управления информационной безопасностью и ее соответствии Требованиям.
Информация о состоянии системы управления информационной безопасностью включает сведения о:
- сфере действия системы управления информационной безопасностью кредитного бюро и ее участниках с указанием соответствия их функционала Требованиям;
- наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;
- наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;
- имеющихся в договорах о предоставлении услуг, заключенных с операторами связи, условиях и обязательствах по обеспечению информационной безопасности;
- наличии, материально-технической обеспеченности и готовности резервных центров обработки данных;
- проведенных мероприятиях по приведению системы управления информационной безопасностью и информационных активов кредитного бюро в соответствие с Требованиями.
Информация о состоянии системы управления информационной безопасностью,
событиях и инцидентах информационной безопасности представляется в
уполномоченный орган посредством автоматизированной системы обработки
информации (АСОИ), предназначенной для обработки информации о событиях
и инцидентах информационной безопасности и интегрированной с системами
информационной безопасности или системами кредитного бюро, осуществляющими в
реальном времени сбор и анализ информации о событиях в информационной инфраструктуре
или в электронном формате с использованием транспортной системы гарантированной
доставки информации с криптографическими средствами защиты, обеспечивающей
конфиденциальность и некорректируемость представляемых данных.
Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального банка РК, интегрированных с АСОИ.
Кредитное бюро предоставляет в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:
- эксплуатация уязвимостей в прикладном и системном программном обеспечении;
- несанкционированный доступ в информационную систему;
- атака «отказ в обслуживании» на информационную систему или сеть передачи данных;
- заражение сервера вредоносной программой или кодом;
- совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;
- иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.
Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется незамедлительно кредитным бюро посредством АСОИ или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.
Информация о событиях информационной безопасности предоставляется в автоматизированном режиме путем передачи из систем информационной безопасности или систем кредитного бюро, осуществляющих в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре кредитного бюро в АСОИ.
В документ добавлен новый параграф, который устанавливает требования к обеспечению информационной безопасности программного обеспечения дистанционного оказания услуг кредитных бюро.
Программное обеспечение дистанционного оказания услуг кредитного бюро включает:
- программное обеспечение серверов веб-приложений (веб-приложение);
- программное обеспечение для мобильных устройств (мобильное приложение);
- программное обеспечение серверов программных интерфейсов (серверное ППО).
Разработка и (или) доработка программного обеспечения дистанционного оказания услуг осуществляется кредитным бюро в соответствии с внутренними документами кредитного бюро, регламентирующими порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.
В случае, если разработка и (или) доработка программного обеспечения дистанционного оказания услуг кредитного бюро передана сторонней организации и (или) третьему лицу, кредитное бюро обеспечивает исполнение сторонней организацией и (или) третьим лицом требований настоящей главы и внутренних документов, отвечает за состояние безопасности программного обеспечения дистанционного оказания услуг.
Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в кредитном бюро, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты кредитного бюро, с обеспечением резервного копирования.
Независимо от принятого в кредитном бюро подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным является тестирование безопасности, в ходе которого осуществляются, как минимум, следующие мероприятия:
- статический анализ исходного кода;
- анализ компонентов и (или) сторонних библиотек.
Статический анализ исходного кода программного обеспечения дистанционного оказания услуг кредитного бюро проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:
- наличие механизмов, допускающих инъекции вредоносного кода;
- использование уязвимых операторов и функций языков программирования;
- использование слабых и уязвимых криптографических алгоритмов;
- использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы программного обеспечения дистанционного оказания услуг кредитного бюро;
- наличие механизмов обхода систем защиты программного обеспечения дистанционного оказания услуг кредитного бюро;
- использование в коде секретов в открытом виде;
- нарушение шаблонов и практик обеспечения безопасности приложения.
Кредитное бюро осуществляет ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий после согласования с подразделением по информационной безопасности.
Также кредитное бюро обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 лет.
При первичной регистрации клиента в мобильном приложении кредитное бюро осуществляет биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (ЦОИД), либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.
Изменение кода доступа (пароля) к мобильному приложению осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД, либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.
Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами кредитного бюро.
Веб-приложение обеспечивает:
- однозначность идентификации принадлежности веб-приложения кредитному бюро (доменное имя, логотипы, корпоративные цвета);
- запрет на сохранение в памяти браузера авторизационных данных;
- маскирование вводимых секретов;
- информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;
- обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.
Мобильное приложение обеспечивает:
- однозначность идентификации принадлежности мобильного приложения кредитному бюро (данные в официальном магазине приложений, логотипы, корпоративные цвета);
- блокировку функционала по оказанию дистанционных услуг кредитного бюро в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;
- уведомление клиента о наличии обновлений мобильного приложения;
- возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;
- хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;
- исключение кэширования конфиденциальных данных;
- исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;
- информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;
- информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного кредитным бюро номера мобильного телефона;
- в ходе осуществления операций с денежными средствами - передачу в серверное ППО кредитного бюро геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.
Кредитное бюро обеспечивает на своей стороне:
- обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;
- идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;
- проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.
Постановление вводится в действие с 1 сентября 2024 года.
Мы сообщали, какие сведения о заемщиках обязаны передать банки, МФО и коллекторы в кредитные бюро.
Также мы писали, что в Казахстане ограничили суммы беззалоговых кредитов для банков и МФО.
