Требования к информационной безопасности банков ужесточили в РК

editor3 26-окт, 10:30 193 Финансы
В частности, требования дополнены новой главой по обеспечению безопасности программного обеспечения дистанционного оказания услуг банка, организации, передает Onenews.kz со ссылкой на Online.zakon.kz.
 
Программное обеспечение дистанционного оказания услуг банка, организации включает:
 
программное обеспечение серверов веб-приложений;
программное обеспечение для мобильных устройств;
программное обеспечение серверов программных интерфейсов.
Разработка и доработка программного обеспечения дистанционного оказания услуг осуществляется банком, организацией в соответствии с внутренними документами, регламентирующими порядок разработки, этапы разработки и их участников.
 
Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в банке, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты банка, организации, с обеспечением резервного копирования.
 
Независимо от принятого в банке или организации подхода к разработке или доработке программного обеспечения дистанционного оказания услуг, обязательным этапом является тестирование безопасности, в ходе которого осуществляются, как минимум, следующие мероприятия:
 
статический анализ исходного кода;
анализ компонентов и сторонних библиотек.
Статический анализ исходного кода программного обеспечения дистанционного оказания услуг банка, организации проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:
 
наличие механизмов, допускающих инъекции вредоносного кода;
использование уязвимых операторов и функций языков программирования;
использование слабых и уязвимых криптографических алгоритмов;
использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы приложения;
наличие механизмов обхода систем защиты приложения;
использование в коде секретов в открытом виде;
нарушение шаблонов и практик обеспечения безопасности приложения.
Анализ компонентов или сторонних библиотек программного обеспечения дистанционного оказания услуг банка, организации проводится с целью выявления известных уязвимостей, присущих используемой версии компонента или сторонней библиотеки, а также отслеживания зависимостей между компонентами и сторонними библиотеками и их версиями.
 
Предусматривается, что банк (организация) обеспечивают реализацию корректирующих мер по устранению выявленных уязвимостей. При этом критичные уязвимости устраняются до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг или его новых версий.
 
Ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и его новых версий осуществляется после согласования с подразделением по информационной безопасности.
 
Хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию хранятся в течение последних трех лет.
 
Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.
 
При первичной регистрации клиента в мобильном приложении банк, организация осуществляют биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (ЦОИД) или с использованием биометрических данных.
 
Изменение кода доступа (пароля) к мобильному приложению также осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка.
 
Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами.
 
Механизм кроссдоменной аутентификации программного обеспечения дистанционного оказания услуг согласовывается с подразделением по информационной безопасности.
 
Веб-приложение обеспечивает:
 
однозначность идентификации принадлежности веб-приложения банку, организации (доменное имя, логотипы, корпоративные цвета);
запрет на сохранение в памяти браузера авторизационных данных;
маскирование вводимых секретов;
информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;
обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.
Мобильное приложение обеспечивает:
 
однозначность идентификации принадлежности мобильного приложения банку, организации (данные в официальном магазине приложений, логотипы, корпоративные цвета);
блокировку функционала по оказанию дистанционных услуг банка, организации в случае обнаружения признаков нарушения целостности или обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;
уведомление клиента о наличии обновлений мобильного приложения;
возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;
хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;
исключение кэширования конфиденциальных данных;
исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;
информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;
информирование клиента о событиях авторизации под его учетной записью, изменения или восстановления пароля, изменения, зарегистрированного банком, организацией номера мобильного телефона;
в ходе осуществления операций с денежными средствами – передачу в серверное ППО банка, организации геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения. 
Банк (организация) обеспечивает на своей стороне:
 
обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;
идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;
проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода. 
Постановление вводится в действие с 4 ноября 2023 года.

Новости по теме

Что изменится в жизни казахстанцев с июля..

Изменения в законодательстве РК с августа..

Изменения в законодательстве с сентября 2023..

С 2024 года в РК обновят правила валютного..

Какие новые правила для МФО..

Комментарии (0)

добавить комментарий

Добавить комментарий

показать все комментарии

Спорт

показать еще
«Барыс» на своем льду сыграет с омским «Авангардом»..
Итоги выступлений казахстанских лыжников 30 января..
Канвон-2024: столичные мастера керлинга одержали свою..
В Шымкенте планируют построить самый большой..
Канвон-2024: итоги выступлений казахстанских..
Артистка из Алматы завоевала цирковой «Оскар» в..
Обновлен состав сборной Казахстана против Аргентины на..
Стали известны позиции казахстанских теннисистов в..