USD
495.20₸
-2.060
EUR
522.34₸
-2.870
RUB
4.94₸
-0.030
BRENT
73.56$
-0.260
BTC
97180.30$
+2931.600

Новые требования по защите безопасности при онлайн-кредитовании примут в Казахстане

Дополнительные меры разработали в Агентстве по регулированию и развитию финансового рынка

Share
Share
Share
Tweet
Share
Фото: Валерия Змейкова

Фото: Валерия Змейкова

Дополнительные меры по обеспечению информационной безопасности банков разработали в Агентстве РК по развитию и регулированию финансового рынка. Нормы предлагается включить в рамках постановления правления АРРФР «О внесении изменения в постановление правления Национального банка Республики Казахстан от 27 марта 2018 года № 48 «Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах».

Документ размещен для обсуждения на портале «Открытые НПА» до 6 октября, передает корреспондент центра деловой информации Kapital.kz.

Как указывается в документе, нормы вносятся в целях усиления подходов к обеспечению безопасности программного обеспечения дистанционного оказания услуг банков или финансовых организаций.

«Соответствующий порядок усиления защиты онлайн-кредитования закреплен пунктом 9 Дорожной карты по реализации механизмов противодействия кредитному мошенничеству, утвержденной вице-премьером РК №12-01/1150-3//23-63-8.18-5 от 28.04.2023 г.», - говорится в обосновании.

В частности, в постановление предлагается добавить главу, которая формирует требования к обеспечению безопасности программного обеспечения дистанционного оказания финансовых услуг.

Так, согласно им, программное обеспечение (ПО) дистанционного оказания услуг БВУ или ФО должно включать:

1) программное обеспечение серверов веб-приложений (веб-приложение);

2) программное обеспечение для мобильных устройств (мобильное приложение);

3) программное обеспечение серверов программных интерфейсов (серверное ППО).

Разработка и (или) доработка ПО дистанционного оказания услуг должна будет осуществляться финучреждениями в соответствии с утвержденным исполнительным органом внутренним документом, регламентирующим порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.

В случае, если разработка и (или) доработка ПО передана сторонней организации и (или) третьему лицу, БВУ или ФО должны будут обеспечить исполнение сторонней организацией и (или) третьим лицом предлагаемых требований и внутренних документов, которые будут отвечать за состояние безопасности программного обеспечения дистанционного оказания услуг.

Хранить исходные коды фининституты должны будут в специализированных системах управления репозиториями кода, размещаемых в периметре защиты БВУ, организации, с обеспечением резервного копирования.

Независимо от принятого в банке или организации подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным этапом должно являться тестирование безопасности:

1) статический анализ исходного кода;

2)  анализ компонентов и (или) сторонних библиотек.

Статический анализ исходного кода будет проводиться с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:

1) наличие механизмов, допускающих инъекции вредоносного кода;

2) использование уязвимых операторов и (или) функций языков программирования;

3) использование слабых и (или) уязвимых криптографических алгоритмов;

4) использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы приложения;

5) наличие механизмов обхода систем защиты приложения;

6) использование в коде секретов в открытом виде;

7) нарушение шаблонов и практик обеспечения безопасности приложения.

Анализ компонентов и (или) сторонних библиотек программного обеспечения дистанционного оказания услуг банка, организации будет проводиться с целью выявления известных уязвимостей, присущих используемой версии компонента и (или) сторонней библиотеки, а также отслеживания зависимостей между компонентами и (или) сторонними библиотеками и их версиями.

Банк или микрофинансовая организация должны будут обеспечивать реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные уязвимости они будут устранять до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий.

Также они должны будут осуществлять ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий после согласования с подразделением по информационной безопасности.

Кроме того, вышеуказанные учреждения планируют обязать обеспечивать хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию.

Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг должен будет шифроваться с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.

При первичной регистрации клиента в мобильном приложении банки или финорганизации должны будут осуществлять его биометрическую идентификацию посредством Центра обмена идентификационными данными (ЦОИД) или с использованием биометрических данных, полученных посредством устройств БВУ или ФО.  

Планируется установить требование по изменению кода доступа (пароля) к мобильному приложению посредством биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств финучреждений.

Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг должны будут проводиться с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости). Делегирование функций идентификации и аутентификации клиента сторонним организациям и (или) третьим лицам не допускается.

Кроссдоменная аутентификация при этом должна будет осуществляться только между доменами третьего уровня или выше, которые имеют общий родительский домен второго уровня, или между доменом второго уровня и его дочерними доменами.

Веб-приложение должно будет обеспечивать:

1) однозначность идентификации принадлежности веб-приложения банку, организации (доменное имя, логотипы, корпоративные цвета);

2) запрет на сохранение в памяти браузера авторизационных данных;

3) маскирование вводимых секретов;

4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;

5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы.

МП не будет использовать функционал встраиваемых веб-страниц (компонент WebView (ВебВью).

Мобильное приложение должно будет обеспечивать:

1) однозначность идентификации принадлежности мобильного приложения банку, организации (данные в официальном магазине приложений, логотипы, корпоративные цвета);

2) блокировку функционала по оказанию дистанционных услуг банка, организации в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

3) уведомление клиента о наличии обновлений мобильного приложения;

4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

6) обмен данными только с авторизованным серверным ППО банка, организации;

7) исключение кеширования конфиденциальных данных;

8) исключение из резервных копий мобильного приложения конфиденциальных данных;

9) информирование клиента о действенных методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

10) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного банком, организацией номера мобильного телефона;

11) в ходе осуществления операций с денежными средствами - передачу в серверное ППО банка, организации геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

Серверное ППО должно будет обеспечивать:

1) контроль скорости приема запросов со стороны мобильных и веб-приложений клиента;

2) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

3) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

4) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.

Напомним, ранее в Агентстве по регулированию и развитию финансового рынка сообщали о комплексных процедурах по проверке клиентов. В ведомстве уточняли, что наличия только ИИН и номера удостоверения личности недостаточно для прохождения всех требований и процедур при выдаче займа. В АРРФР отмечают, что на сегодняшний день банки и микрофинансовые организации (МФО) – субъекты системы противодействия отмыванию денег и финансированию терроризма. Поэтому они обязаны проводить комплексные процедуры и надлежащую проверку клиентов.

Кроме того, Агентство внесло изменения в правила предоставления микрокредитов электронным способом для недопущения мошенничества и защиты потребителей микрофинансовых услуг постановлением правления АРРФР от 30 апреля 2021 года (№63).

Таким образом, для удаленного получения микрокредита проводится идентификация заемщика одним из трех способов:

1) с помощью электронной цифровой подписи (ЭЦП);

2) соответствия биометрическим параметрам заемщика с использованием сервиса ЦОИД (центр обмена идентификационными данными – Ред.) РГП «Казахстанский центр межбанковских расчетов Нацбанка РК»;

3) через двухфакторную проверку персональных данных и изображения заемщика в режиме реального времени.

Дополнительно правилами предусмотрена двухфакторная аутентификация для подтверждения права клиента на получение микрокредита электронным способом. В том числе с использованием программного обеспечения (ПО) для идентификации потенциального заемщика, которое обеспечивает проверку и подтверждение изображения клиента в режиме реального времени с его фотографией на удостоверении личности.

ПО также обеспечивает безопасность персональных данных клиента при обмене и хранении информации, защиту от распечатанного бумажного изображения лица потенциального заемщика и от возможности дублирования воспроизведения видео- или фотоизображения с другого периферийного устройства.

АРРФР также ввело дополнительные способы аутентификации путем сверки с данными операторов мобильной связи постановлением правления Агентства от 13 декабря 2021 года (№108). Аутентификация обеспечивает проверку того, что абонентский номер принадлежит клиенту путем сверки его ИИН в базе номеров мобильных телефонов клиентов через веб-портал «электронного правительства». Это было сделано в целях недопущения мошенничества и защиты потребителей микрофинансовых услуг.

Таким образом, правила усилены в части процедур идентификации клиента путем сверки с данными операторов мобильной связи.

АРРФР также ответило, может ли злоумышленник получить доступ к устройству потенциальной жертвы или к ее личным данным, если человек просто перейдет по ссылке в интернете. В Агентстве рассказывают, что если ссылка вирусная, то пользователь может скачать вредоносное программное обеспечение, которое будет передавать мошенникам конфиденциальную информацию пользователя, в том числе пароли от электронной почты и данные банковских кабинетов.

Теоретически эта информация может быть использована для получения доступа не только к устройству, но и к иной инфраструктуре пострадавшего. Поэтому необходимо устанавливать качественный антивирус и регулярно обновлять лицензионное ПО, а также не запускать мобильные приложения банков и МФО при работе неизвестных программ, добавляют в АРРФР.

Читайте также

При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.

Вам может быть интересно

Читайте Kapital.kz в Kapital Telegram Kapital Instagram Kapital Facebook
Вверх
Комментарии
Выйти
Отправить
Авторизуйтесь, чтобы отправить комментарий
Новый пользователь? Регистрация
Вам необходимо пройти регистрацию, чтобы отправить комментарий
Уже есть аккаунт? Вход
По телефону По эл. почте
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Введите код доступа из SMS-сообщения
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS, вы можете отправить его еще раз.
Отправить код повторно ( 59 секунд )
Спасибо, что авторизовались
Теперь вы можете оставлять комментарии.
Вы зарегистрированы
Теперь вы можете оставлять комментарии к материалам портала
Сменить пароль
Введите номер своего сотового телефона/email для смены пароля
По телефону По эл. почте
Введите код доступа из SMS-сообщения/Email'а
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS/Email, вы можете отправить его еще раз.
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Отправить код повторно ( 59 секунд )
Пароль успешно изменен
Теперь вы можете авторизоваться
Пожаловаться
Выберите причину обращения
Спасибо за обращение!
Мы приняли вашу заявку, в ближайшее время рассмотрим его и примем меры.