Для участников финрынка вводят новые требования к информационной безопасности
Правила вступят в силу с 12 июля 2026 года
Агентство по регулированию и развитию финансового рынка утвердило минимальные требования по обеспечению информационной безопасности на финансовом рынке. 20 апреля было подписано соответствующее постановление. Новые правила вступят в силу с 12 июля 2026 года, сообщает корреспондент центра деловой информации Kapital.kz.
В документе отмечается, что первый руководитель финансовой организации несет персональную ответственность за обеспечение информационной безопасности компании.
Также участники финрынка должны предоставить в уполномоченный орган информацию о таких инцидентах:
1. Эксплуатация уязвимостей в прикладном и системном программном обеспечении;
2. Несанкционированный доступ в цифровую систему;
3. Атака «отказ в обслуживании» на цифровую систему или сеть передачи данных;
4. Заражение сервера вредоносной программой или кодом;
5. Совершение несанкционированного перевода денежных средств;
6. Нарушение работы систем идентификации и аутентификации клиента;
7. Иных инцидентах информбезопасности, которые повлекли простои цифровых систем более одного часа.
Среди технических требований - «телекоммуникационные соединения, выходящие за пределы периметра защиты финорганизации, подлежат шифрованию».
«Доступ работников финансовой организации и ее клиентов к цифровым системам такой организации осуществляется после процедуры идентификации и аутентификации. За исключением цифровых систем, по которым внутренним документом утвержден иной порядок доступа», - говорится в документе.
При хранении аудиторского следа должен обеспечиваться «контроль его неизменности».
«Срок хранения аудиторского следа составляет не менее трех месяцев в оперативном доступе и не менее одного года в архивном доступе или же не менее одного года в оперативном доступе. Доступ пользователей и клиентов извне периметра защиты финансовой организации к цифровым системам осуществляется с применением как минимум двух различных факторов аутентификации», - сообщается в постановлении.
Регистрация клиента в цифровых системах финорганизации происходит после подтверждения личности клиента.
Для дистанционного подтверждения личности при регистрации должна применяться комбинация как минимум из следующих проверок:
- биометрическая проверка клиента по изображению лица с использованием госбазы данных изображений или по биометрическим данным, полученным при личном присутствии клиента, через специально предназначенные для этого устройства финорганизации;
- проверка владения телефонным номером, зарегистрированным в госбазе номеров мобильных телефонов граждан. Также может осуществляться проверка владения закрытым ключом сертификата электронной цифровой подписи.
Для последующей идентификации и аутентификации клиента при регистрации допускается сбор таких данных:
- пароль, задаваемый клиентом;
- вектор инициализации, серийный номер или иная информация, необходимая для подключения аппаратного или программного генератора одноразовых паролей (OTP-генератора);
- уникальный идентификатор установки мобильного приложения на мобильное устройство, а также индивидуальные характеристики мобильного устройства;
- сертификат электронной цифровой подписи, соответствующий закрытому ключу, хранимому на устройстве клиента;
- дополнительный номер мобильного телефона, владение клиента которым подтверждено;
- биометрические данные клиента, проверенные через госбазу данных изображений или полученные через устройства финансовой организации;
- открытый криптографический ключ, соответствующий закрытому криптографическому ключу, хранимому на устройстве клиента.
Читайте также
Банки Казахстана до июля завершат подключение к единому QR-коду
Об этом рассказала председатель АРРФР Мадина Абылкасымова
При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.
Вам может быть интересно
Читайте Kapital.kz в
