Лента новостей
0
Қаз
#Всемирные игры кочевников #Строительство АЭС в Казахстане #Потребительский контроль
Язык сайта
Қаз
Нацфонд детям
Политика Мир Спорт Происшествия Право
Рубрики
Рубрики
Категории
Законодательство РК

В Казахстане изменили требования к обеспечению информационной безопасности кредитных бюро

Хакеры, программисты, кибербезопасность, мошенничество, мошенники, защита данных, взлом данных , фото - Новости Zakon.kz от 22.08.2024 09:00 Фото: pexels
АРРФР постановлением от 16 августа 2024 года внесло изменения в Требования к обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, МФО и коллекторскими агентствами, сообщает Zakon.kz.

Поправками предусмотрено, что руководители структурных подразделений кредитного бюро:

  • обеспечивают ознакомление работников с внутренними документами кредитного бюро, содержащими требования к информационной безопасности (далее – требования к информационной безопасности);
  • несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях;
  • обеспечивают заключение соглашений о неразглашении конфиденциальной информации и включение условий об обеспечении информационной безопасности в соглашения, договоры на оказание услуг/выполнение работ в случаях, когда подразделение кредитного бюро выступает инициатором заключения таких соглашений, договоров.

Доступ к информационным активам кредитного бюро третьих лиц предоставляется на период и в объеме, определяемыми проводимыми работами на основании соглашения, договора, включающего условия о соблюдении требований к информационной безопасности, за исключением случаев, предусмотренных законодательством РК.

В соглашениях, договорах, заключаемых с поставщиком информации получателем кредитных отчетов, третьими лицами, содержатся положения о конфиденциальности, условия о возмещении ущерба, возникшего вследствие нарушения информационной безопасности, а также сбоев в работе информационных систем и нарушения их безопасности, вызванных действием или бездействием кредитного бюро, поставщика информации, получателя кредитных отчетов, третьих лиц.

Кредитное бюро ежегодно, не позднее 20 января года, следующего за отчетным годом, представляет в уполномоченный орган информацию о состоянии системы управления информационной безопасностью и ее соответствии Требованиям.

Информация о состоянии системы управления информационной безопасностью включает сведения о:

  • сфере действия системы управления информационной безопасностью кредитного бюро и ее участниках с указанием соответствия их функционала Требованиям;
  • наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;
  • наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;
  • имеющихся в договорах о предоставлении услуг, заключенных с операторами связи, условиях и обязательствах по обеспечению информационной безопасности;
  • наличии, материально-технической обеспеченности и готовности резервных центров обработки данных;
  • проведенных мероприятиях по приведению системы управления информационной безопасностью и информационных активов кредитного бюро в соответствие с Требованиями.

Информация о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности представляется в уполномоченный орган посредством автоматизированной системы обработки информации (АСОИ), предназначенной для обработки информации о событиях и инцидентах информационной безопасности и интегрированной с системами информационной безопасности или системами кредитного бюро, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального банка РК, интегрированных с АСОИ.

Кредитное бюро предоставляет в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

  • эксплуатация уязвимостей в прикладном и системном программном обеспечении;
  • несанкционированный доступ в информационную систему;
  • атака «отказ в обслуживании» на информационную систему или сеть передачи данных;
  • заражение сервера вредоносной программой или кодом;
  • совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;
  • иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.

Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется незамедлительно кредитным бюро посредством АСОИ или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

Информация о событиях информационной безопасности предоставляется в автоматизированном режиме путем передачи из систем информационной безопасности или систем кредитного бюро, осуществляющих в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре кредитного бюро в АСОИ.

В документ добавлен новый параграф, который устанавливает требования к обеспечению информационной безопасности программного обеспечения дистанционного оказания услуг кредитных бюро.

Программное обеспечение дистанционного оказания услуг кредитного бюро включает:

  • программное обеспечение серверов веб-приложений (веб-приложение);
  • программное обеспечение для мобильных устройств (мобильное приложение);
  • программное обеспечение серверов программных интерфейсов (серверное ППО).

Разработка и (или) доработка программного обеспечения дистанционного оказания услуг осуществляется кредитным бюро в соответствии с внутренними документами кредитного бюро, регламентирующими порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.

В случае, если разработка и (или) доработка программного обеспечения дистанционного оказания услуг кредитного бюро передана сторонней организации и (или) третьему лицу, кредитное бюро обеспечивает исполнение сторонней организацией и (или) третьим лицом требований настоящей главы и внутренних документов, отвечает за состояние безопасности программного обеспечения дистанционного оказания услуг.

Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в кредитном бюро, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты кредитного бюро, с обеспечением резервного копирования.

Независимо от принятого в кредитном бюро подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным является тестирование безопасности, в ходе которого осуществляются, как минимум, следующие мероприятия:

  • статический анализ исходного кода;
  • анализ компонентов и (или) сторонних библиотек.

Статический анализ исходного кода программного обеспечения дистанционного оказания услуг кредитного бюро проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:

  • наличие механизмов, допускающих инъекции вредоносного кода;
  • использование уязвимых операторов и функций языков программирования;
  • использование слабых и уязвимых криптографических алгоритмов;
  • использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы программного обеспечения дистанционного оказания услуг кредитного бюро;
  • наличие механизмов обхода систем защиты программного обеспечения дистанционного оказания услуг кредитного бюро;
  • использование в коде секретов в открытом виде;
  • нарушение шаблонов и практик обеспечения безопасности приложения.

Кредитное бюро осуществляет ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий после согласования с подразделением по информационной безопасности.

Также кредитное бюро обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 лет.

При первичной регистрации клиента в мобильном приложении кредитное бюро осуществляет биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (ЦОИД), либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.

Изменение кода доступа (пароля) к мобильному приложению осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД, либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.

Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами кредитного бюро.

Веб-приложение обеспечивает:

  • однозначность идентификации принадлежности веб-приложения кредитному бюро (доменное имя, логотипы, корпоративные цвета);
  • запрет на сохранение в памяти браузера авторизационных данных;
  • маскирование вводимых секретов;
  • информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;
  • обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.

Мобильное приложение обеспечивает:

  • однозначность идентификации принадлежности мобильного приложения кредитному бюро (данные в официальном магазине приложений, логотипы, корпоративные цвета);
  • блокировку функционала по оказанию дистанционных услуг кредитного бюро в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;
  • уведомление клиента о наличии обновлений мобильного приложения;
  • возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;
  • хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;
  • исключение кэширования конфиденциальных данных;
  • исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;
  • информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;
  • информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного кредитным бюро номера мобильного телефона;
  • в ходе осуществления операций с денежными средствами - передачу в серверное ППО кредитного бюро геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

Кредитное бюро обеспечивает на своей стороне:

  • обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;
  • идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;
  • проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.

Постановление вводится в действие с 1 сентября 2024 года.

Мы сообщали, какие сведения о заемщиках обязаны передать банки, МФО и коллекторы в кредитные бюро.

Также мы писали, что в Казахстане ограничили суммы беззалоговых кредитов для банков и МФО.

Читайте также

Ипотека, покупка дома, квартиры, кредит, покупка жилья
Ущерб превысил 30 млн тенге: жительницы Астаны поплатились свободой за махинации с жильем
Верховный Суд РК, суд, судебный процесс, судья
В Казахстане разрабатывают законопроект по вопросам стандартизации
Высшая аудиторская палата Республики Казахстан
Недостатки в планировании бюджетных расходов на 2025-2027 годы выявила Высшая аудиторская палата
Элина Черногрицкая
АРРФР Законодательство Казахстан 2024 год
Следите за новостями zakon.kz в:
google news yandex news
Поделиться
Если вы видите данное сообщение, значит возникли проблемы с работой системы комментариев. Возможно у вас отключен JavaScript
Все
Сутки
Неделя
Месяц
Год
Государственная служба, госслужба, госслужащий, государственный аппарат, госаппарат, государственная работа
В Казахстане утвердили нормы времени по переводу документов с русского языка на государственный и обратно
Пробки на трассе Талгар-Алматы
10-балльные пробки на Талгарской трассе: жители пригорода пешком идут на работу в Алматы
Социальные сети, instagram, facebook, whatsapp, vkontakte, twitter, tiktok, инстаграм, фейсбук, вотсап, твиттер, контакт, вконтакте, тикток, телефон, мобильный интернет
Не отвечайте на видеозвонки: к казахстанцам с предупреждением обратились в МВД
Обязательное социальное медицинское страхование, ОСМС, врач, врачи, медицина, система здравоохранения
В Казахстане часть болезней хотят исключить из гарантированного объема бесплатной медпомощи
Будьте в тренде!
Включите уведомления и получайте главные новости первым!

Уведомления можно отключить в браузере в любой момент

Подпишитесь на наши уведомления!
Нажмите на иконку колокольчика, чтобы включить уведомления
Сообщите об ошибке на странице
Ошибка в тексте: