Банк және микроқаржы активтерін сататын электрондық сауда алаңының ақпараттық қауіпсіздігін қамтамасыз ету қағидаларын бекіту туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2024 жылғы 16 тамыздағы № 57 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2024 жылғы 19 тамызда № 34951 болып тіркелді

      ЗҚАИ-ның ескертпесі!
      Осы қаулы 20.08.2024 бастап қолданысқа енгізіледі

      "Қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы" Қазақстан Республикасы Заңының 15-18-бабы 4-тармағының екінші бөлігіне сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Осы қаулыға қосымшаға сәйкес Банк және микроқаржы активтерін сататын электрондық сауда алаңының ақпараттық қауіпсіздігін қамтамасыз ету қағидалары бекітілсін.

      2. Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы 2024 жылғы 20 тамыздан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

      Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің Төрағасы
М. Абылкасымова

  Қазақстан Республикасының
Қаржы нарығын реттеу
және дамыту
Агенттігінің Басқармасының
2024 жылғы 16 тамыздағы
№ 57 қаулысы
қосымша

Банк және микроқаржы активтерін сататын электрондық сауда алаңының ақпараттық қауіпсіздігін қамтамасыз ету қағидалары

1-тарау. Жалпы ережелер

      1. Осы Банк және микроқаржы активтерін сату жөніндегі электрондық сауда алаңының ақпараттық қауіпсіздігін қамтамасыз ету қағидалары (бұдан әрі-қағидалар) "Қаржы нарығын және қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы" Қазақстан Республикасы Заңының 15-18-бабы 4-тармағының екінші бөлігіне сәйкес әзірленді (бұдан әрі – Мемлекеттік реттеу туралы заң) сәйкес әзірленген және қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органның (бұдан әрі – уәкілетті орган) банк және микроқаржы активтерін сататын электрондық сауда алаңының (бұдан әрі – электрондық сауда алаңы) ақпараттық қауіпсіздігін қамтамасыз ету тәртібін айқындайды.

      2. Қағидаларда "Ақпараттандыру туралы", "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасының заңдарында және Мемлекеттік реттеу туралы заңда көзделген ұғымдар пайдаланылады.

2-тарау. Электрондық сауда алаңының ақпараттық қауіпсіздігін қамтамасыз ету

      3. Электрондық сауда алаңының ақпараттық қауіпсіздігін электрондық сауда алаңының операторы (бұдан әрі-оператор):

      1) оператордың қызметкерлеріне және электрондық сауда алаңында өткізілетін сауда-саттыққа қатысушыларға (бұдан әрі –қатысушылар) электрондық сауда алаңына қолжетімділікті ұйымдастыру;

      2) электрондық сауда алаңындағы ақпаратты өңдеу, сақтау және беру кезінде оны қорғау;

      3) электрондық сауда алаңындағы ақпарат қолжетімділігінің талап етілетін деңгейін резервтеу және қамтамасыз ету;

      4) жабдықтың және бағдарламалық қамтылымның іркілісі және істен шығуынан кейін электрондық сауда алаңының ақпараттық жүйесін қалпына келтіру рәсімдері;

      5) оператор мен қатысушы арасындағы электрондық сауда алаңында берілетін ақпаратты шифрлауды қамтамасыз ету жолымен қамтамасыз етеді.

      4. Оператор өзінің қызметкерлерін және қатысушыларды идентификаттау және аутентификаттау арқылы оператордың қызметкерлері мен қатысушыларына электрондық сауда алаңына қолжетімділікті қамтамасыз етеді.

      5. Электрондық сауда алаңына қолжетімділік оператордың қызметкерлеріне олардың функционалдық міндеттерінде айқындалатын көлемде беріледі.

      6. Электрондық сауда алаңында оператор қызметкерлерінің дербестендірілген есептік жазбалары пайдаланылады.

      7. Электрондық сауда алаңында есептік жазбаларды басқару, құпиясөздерді қорғау, сондай-ақ электрондық сауда алаңының ақпараттық жүйесінде оператор қызметкерлерінің есептік жазбаларын бұғаттау және бұғаттан босату жөніндегі функциялар қолданылады.

      8. Оператордың қызметкерлерін электрондық сауда алаңының ақпараттық жүйесінде идентификаттау және аутентификаттау қауіпсіздік рәсімдеріне сәйкес екі факторлы аутентификаттауды (үш фактордың екеуін: білімін, иеленуін, ажырамастығын) пайдалана отырып жүзеге асырылады.

      9. Қатысушыны электрондық сауда алаңында бастапқы тіркеу Қазақстан Республикасының аккредиттелген куәландырушы орталығы берген электрондық цифрлық қолтаңбаның көмегімен немесе Сәйкестендіру деректерімен алмасу орталығы (бұдан әрі – СДАО) арқылы қатысушыны биометриялық идентификаттау қызметін қолдана отырып немесе электрондық сауда алаңының құрылғылары арқылы алынған биометриялық деректерді пайдалана отырып жүзеге асырылады.

      10. Қатысушыны идентификаттау және аутентификаттау мына тәсілдердің кем дегенде біреуі міндетті түрде қолданыла отырып, электрондық екі факторлы аутентификаттау тәсілдерін (үш фактордың екеуін: білімін, иеленуін, ажырамастығын) пайдалана отырып жүзеге асырылады:

      1) Қазақстан Республикасының аккредиттелген куәландырушы орталығы берген электрондық цифрлық қолтаңба;

      2) СДАО қызметтерін пайдалану арқылы немесе электрондық сауда алаңының құрылғылары арқылы алынған биометриялық деректерді пайдалана отырып биометриялық идентификаттау.

      11. Электрондық сауда алаңына қол жеткізу кодын (құпиясөзін) өзгерту СДАО растаған немесе электрондық сауда алаңының құрылғылары арқылы алынған биометриялық деректерді пайдалана отырып, клиентті биометриялық идентификаттауды пайдалану арқылы жүзеге асырылады.

      12. Оператор электрондық сауда алаңының ақпараттық жүйесінің барлық құрауыштарын вирусқа қарсы қорғауды қамтамасыз етеді.

      13. Электрондық сауда алаңы ақпараттық жүйесінің күрделі осалдықтарды жоятын құрауыштарының қауіпсіздігін жаңарту өндіруші оларды жариялаған және таратқан күннен бастап бір айдан кешіктірмей белгіленеді.

      14. Электрондық сауда алаңының ақпараттық жүйесінің бағдарламалық және аппараттық құрауыштарын өнеркәсіптік ортаға орнатылғанға дейін сынақтан өткізу отасында жаңартылады.

      15. Электрондық сауда алаңының оның жұмыс істейтін көшірмесін қалпына келтіру үшін қажетті ақпараттық жүйесінің барлық құрауыштарының деректерін, файлдары мен конфигурацияларын резервтік сақтауды қамтамасыз етеді.

      16. Ақпаратты резервтік көшірудің, сақтаудың, қалпына келтірудің тәртібі мен кезеңділігі, электрондық сауда алаңы ақпараттық жүйесінің резервтік көшірмелерден жұмысқа қабілеттілігін қалпына келтіруді тестілеудің кезеңділігі оператор айқындалады.

      17. Оператор электрондық сауда алаңының ақпараттық жүйесінде ұйымдастырушылық және техникалық деңгейде процестер мен рәсімдердің, оқиғалар журналдарындағы жазбалардың, экран суреттерін, аудио-, фото - және бейнетіркеу нәтижелерінің орындалуын растайтын құжаттардың өзгермейтіндігін қамтамасыз етеді.

      Осы тармақтың бірінше бөлігінде көзделген деректерді сақтау мерзімі жедел қолжетімділікте кемінде 3 (үш) айды және архивтегі қолжетімділікте кемінде 5 (бес) жылды құрайды.

      18. Электрондық сауда алаңының бағдарламалық қамтылымына:

      1) веб-қосымшалар серверлерінің (бұдан әрі – веб-қосымшалар) бағдарламалық қамтылымы;

      2) мобильді құрылғыларға (бұдан әрі – мобильді қосымша) арналған бағдарламалық қамтылым;

      3) бағдарламалық интерфейс серверлерінің бағдарламалық қамтылымы кіреді.

      19. Электрондық сауда алаңының ақпараттық жүйесінің бағдарламалық қамтылымын әзірлеу және (немесе) пысықтау оператордың бағдарламалық қамтылымды әзірлеу және (немесе) пысықтау тәртібіне, әзірлеу кезеңдеріне және олардың қатысушыларына сәйкес жүзеге асырылады.

      Электрондық сауда алаңының ақпараттық жүйесінің бағдарламалық қамтылымын әзірлеу және (немесе) пысықтау бөгде ұйымға және (немесе) үшінші тұлғаға берілсе, оператор электрондық сауда алаңының ақпараттық қауіпсіздігін қамтамасыз ету туралы талаптарды қамтитын шарт негізінде жүргізілетін жұмыстармен айқындалатын кезеңге және көлемде бөгде ұйымының және (немесе) үшінші тұлғаның электрондық алаңының ақпараттық жүйесіне қол жеткізуді ұсынады. Бөгде ұйыммен және (немесе) үшінші тұлғамен жасалатын шарттарда конфиденциалдылық туралы ережелер, ақпараттық қауіпсіздікті бұзу, сондай-ақ бөгде ұйымның және (немесе) үшінші тұлғаның әрекетінен немесе әрекетсіздігінен электрондық сауда алаңының ақпараттық жүйесінің жұмысында туындаған іркілістер салдарынан туындаған залалды өтеу туралы талаптар қамтылады.

      20. Электрондық сауда алаңының ақпараттық жүйесі бағдарламалық қамтылымының бастапқы кодтарын сақтау резервтік көшіруді қамтамасыз ете отырып операторды қорғау аясында орналастырылатын код репозиторийлерін басқарудың мамандандырылған жүйелерінде жүзеге асырылады.

      21. Операторда электрондық сауда алаңының ақпараттық жүйесінің бағдарламалық қамтамасыз етуін әзірлеуге және (немесе) пысықтауға қабылданған тәсілге қарамастан, электрондық сауда алаңының ақпараттық қауіпсіздігін тестілеу міндетті кезең болып табылады, оның барысында кем дегенде мынадай іс-шаралар жүзеге асырылады:

      1) бастапқы кодты статикалық талдау;

      2) құрауыштар мен бөгде анықтамалықтарды талдау.

      22. Электрондық сауда алаңының ақпараттық жүйесі бағдарламалық қамтылымының бастапқы кодын статикалық талдау тексеріліп отырған бағдарламалық қамтылымда қолданылатын барлық бағдарламалау тілдеріне талдауды қолдайтын бастапқы кодтарға статикалық талдаудың сканерін қолдану арқылы жүргізіледі, оның функциясына төмендегі осалдықтарды анықтау кіреді, бірақ онымен шектелмейді:

      1) зиянды кодтың инъекциясына жол беретін тетіктердің болуы;

      2) бағдарламалау тілдерінің осал функцияларын қолдану;

      3) әлсіз және осал криптографиялық алгоритмдерді қолдану;

      4) қызмет көрсетуден бас тартуды немесе электрондық сауда алаңы ақпараттық жүйесінің бағдарламалық қамтылымы жұмысының елеулі түрде баяулауын тудыратын кодты қолдану;

      5) электрондық сауда алаңының ақпараттық жүйесінің бағдарламалық қамтамасыз етуді қорғау жүйелерін айналып өту тетіктерінің болуы;

      6) кодта ашық түрде құпияларды қолдану;

      7) электрондық сауда алаңының ақпараттық жүйесі бағдарламалық қамтылымының қауіпсіздігін қамтамасыз ету шаблондары мен практикаларын бұзу.

      23. Электрондық сауда алаңының ақпараттық жүйесі бағдарламалық қамтылымының құрауыштарын және (немесе) бөгде анықтамалықтарын талдау құрауыштың және (немесе) бөгде анықтамалықтың қолданылатын нұсқасына тән белгілі осалдықтарды анықтау, сондай-ақ құрауыштардың және (немесе) бөгде анықтамалықтардың және олардың нұсқаларының арасындағы байланыстарды бақылап отыру мақсатында жүргізіледі.

      24. Оператор соңғы 3 (үш) жыл ішінде пайдалануға берілген электрондық сауда алаңының ақпараттық жүйесі бағдарламалық қамтылымының бастапқы кодтарының және ақпараттық қауіпсіздікті тестілеу нәтижелерінің барлық нұсқасын сақтауды және жедел режимде қол жеткізуді қамтамасыз етеді.

      25. Электрондық сауда алаңының ақпараттық жүйесі бағдарламалық қамтылымының клиенттік және серверлік тараптары арасында деректер алмасу Transport Layer Security (Транспорт Лэйер Секьюрити) шифрлау хаттамасының 1.2-ден төмен емес нұсқасын пайдалана отырып шифрланады.

      26. Веб-қосымша мыналарды қамтамасыз етеді:

      1) веб-қосымшаның электрондық сауда алаңына тиесілігін идентификаттаудың бірегейлігі (домендік атау, логотиптер, корпоративтік түстер, жария байланыс ақпараты);

      2) браузердің жадында авторизациялық деректерді сақтауға тыйым салу;

      3) енгізілетін құпияларды жасыру;

      4) клиенттің авторизациялау парақшасында веб-қосымшаны пайдалану кезінде сақтау ұсынылатын кибергигиенаны қамтамасыз ету шаралары туралы хабарлау;

      5) клиенттің интерфейсінде конфиденциалды деректердің көрсетілуіне жол бермей, проблеманы диагностикалау үшін ең аз деңгейде жеткілікті болатын ақпарат бере отырып, қателер мен ерекше жағдайларды қауіпсіз тәсілмен өңдеу.

      27. Мобильді қосымша мыналарды қамтамасыз етеді:

      1) мобильді қосымшаның операторға тиесілігін идентификаттаудың бірегейлігі (ресми қосымшалар дүкеніндегі деректер, логотиптер, корпоративтік түстер);

      2) операциялық жүйенің тұтастығын бұзу және (немесе) қорғау тетіктерін айналып өту белгілерін анықтау, қашықтан басқару процестерін анықтау жағдайында электрондық сауда алаңының қашықтықтан қызмет көрсету жөніндегі функционалын бұғаттау;

      3) қатысушыға мобильді қосымшаның жаңартулары туралы хабарлау;

      4) маңызды осалдықтарды жою қажет болған жағдайда оларды орнатқанға дейін мобильді қосымшаның жаңартуларын мәжбүрлеп орнату немесе мобильді қосымшаның функционалын бұғаттау мүмкіндігі;

      5) конфиденциалды деректерді мобильді қосымшаның қауіпсіз контейнерінде немесе жүйелік есепке алу деректерін сақтау қоймасында сақтау;

      6) электрондық сауда алаңының авторизацияланған серверлік бағдарламалық қамтылымдарымен ғана деректер алмасу;

      7) конфиденциалды деректерді кэштеуді алып тастау;

      8) мобильді қосымшаның резервтік көшірмелерінен конфиденциалды деректерді алып тастау;

      9) қатысушыға мобильді қосымшаны пайдалану кезінде сақтау ұсынылатын кибергигиенаны қамтамасыз етудің тиімді әдістері туралы хабарлау;

      10) қатысушыға оның есептік жазбасы арқылы авторизациялау, құпиясөзді өзгерту және (немесе) қалпына келтіру, электрондық сауда алаңы тіркеген ұялы телефон нөмірін өзгерту оқиғалары туралы хабарлау;

      11) клиенттің рұқсаты болған жағдайда электрондық сауда алаңының серверлік бағдарламалық қамтылымына мобильді құрылғының геолокациялық деректерін беру немесе мұндай рұқсаттың жоқ екені туралы ақпаратты беру.

      28. Серверлік бағдарламалық қамтылым мыналарды қамтамасыз етеді:

      1) қатысушының мобильді және веб-қосымшалары тарапынан сұратуларды қабылдау жылдамдығын бақылау;

      2) жауапта қатысушының конфиденциалды ақпаратының жария етілуіне жол бермей, проблеманы диагностикалау үшін ең аз деңгейде жеткілікті болатын ақпарат бере отырып, қателер мен ерекше жағдайларды қауіпсіз тәсілмен өңдеу;

      3) мобильді қосымшаларды және олармен байланысты құрылғыларды идентификаттау және аутентификаттау;

      4) жалған сұратулар мен инъекцияларды жасаумен байланысты абуылдардың алдын алу үшін деректердің жарамдылығын тексеру.

Об утверждении Правил обеспечения информационной безопасности электронной торговой площадки по продаже банковских и микрофинансовых активов

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 16 августа 2024 года № 57. Зарегистрировано в Министерстве юстиции Республики Казахстан 19 августа 2024 года № 34951

      Примечание ИЗПИ!
      Вводится в действие с 20.08.2024

      В соответствии с частью второй пункта 4 статьи 15-18 Закона Республики Казахстан "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить Правила обеспечения информационной безопасности электронной торговой площадки по продаже банковских и микрофинансовых активов согласно приложению к настоящему постановлению.

      2. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие с 20 августа 2024 года и подлежит официальному опубликованию.

      Председатель Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка
М. Абылкасымова

  Приложение к постановлению
Правления Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка
от 16 августа 2024 года № 57

Правила обеспечения информационной безопасности электронной торговой площадки по продаже банковских и микрофинансовых активов

Глава 1. Общие положения

      1. Настоящие Правила обеспечения информационной безопасности электронной торговой площадки по продаже банковских и микрофинансовых активов (далее – Правила) разработаны в соответствии с частью второй пункта 4 статьи 15-18 Закона Республики Казахстан "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" (далее – Закон о государственном регулировании) и определяют порядок обеспечения уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее – уполномоченный орган) информационной безопасности электронной торговой площадки по продаже банковских и микрофинансовых активов (далее – электронная торговая площадка).

      2. В Правилах используются понятия, предусмотренные законами Республики Казахстан "Об информатизации", "Об электронном документе и электронной цифровой подписи" и Законом о государственном регулировании.

Глава 2. Обеспечение информационной безопасности электронной торговой площадки

      3. Информационная безопасность электронной торговой площадки обеспечивается оператором электронной торговой площадки (далее – оператор) путем:

      1) организации доступа к электронной торговой площадке работникам оператора и участникам торгов, проводимых на электронной торговой площадке (далее – участники);

      2) защиты информации, находящейся в электронной торговой площадке, при ее обработке, хранении и передаче;

      3) резервирования и обеспечения доступности информации, находящейся в электронной торговой площадке;

      4) процедур восстановления информационной системы электронной торговой площадки после сбоев и отказов оборудования и программного обеспечения;

      5) обеспечения шифрования передаваемой информации на электронной торговой площадке между оператором и участником.

      4. Оператор обеспечивает доступ к электронной торговой площадке работникам оператора и участникам путем идентификации и аутентификации работников оператора и участников.

      5. Доступ к электронной торговой площадке предоставляется работникам оператора в объеме, определяемом их функциональными обязанностями.

      6. На электронной торговой площадке используются персонализированные учетные записи работников оператора.

      7. На электронной торговой площадке применяются функции по управлению учетными записями, защите паролей, а также блокировке и разблокировке учетных записей работников оператора в информационной системе электронной торговой площадки.

      8. Идентификация и аутентификация работников оператора в информационной системе электронной торговой площадки осуществляется с применением двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности.

      9. Первичная регистрация участника на электронной торговой площадке осуществляется с помощью электронной цифровой подписи, предоставленной аккредитованным удостоверяющим центром Республики Казахстан, или с применением услуги биометрической идентификации участника посредством Центра обмена идентификационными данными (далее – ЦОИД) или с использованием биометрических данных, полученных посредством устройств электронной торговой площадки.

      10. Идентификация и аутентификация участника осуществляется с применением двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) с обязательным применением как минимум одного из следующих способов:

      1) электронная цифровая подпись, предоставленная аккредитованным удостоверяющим центром Республики Казахстан;

      2) биометрическая идентификация посредством использования услуг ЦОИД или с использованием биометрических данных, полученных посредством устройств электронной торговой площадки.

      11. Изменение кода доступа (пароля) к электронной торговой площадке осуществляется с применением биометрической идентификации участника с использованием биометрических данных, подтвержденных ЦОИД, или полученных посредством устройств электронной торговой площадки.

      12. Оператор обеспечивает антивирусную защиту всех компонентов информационной системы электронной торговой площадки.

      13. Обновления безопасности компонентов информационной системы электронной торговой площадки, устраняющие критичные уязвимости, устанавливаются не позднее одного месяца со дня их публикации и распространения производителем.

      14. Обновления программных и аппаратных компонентов информационной системы электронной торговой площадки до установки в промышленную среду проходят испытания в тестовой среде.

      15. Оператор обеспечивает резервное хранение данных, файлов и конфигураций всех компонентов информационной системы электронной торговой площадки в целях восстановления ее работоспособной копии.

      16. Порядок и периодичность резервного копирования, хранения, восстановления информации, периодичность тестирования восстановления работоспособности информационной системы электронной торговой площадки из ее резервных копий определяются оператором.

      17. Оператор обеспечивает неизменность документов, подтверждающих выполнение процессов и процедур, записей в журналах событий, снимков экрана, результатов аудио-, фото- и видеофиксации, в информационной системе электронной торговой площадки как на организационном, так и на техническом уровне.

      Срок хранения данных, предусмотренных частью первой настоящего пункта, составляет не менее 3 (трех) месяцев в оперативном доступе и не менее 5 (пяти) лет в архивном доступе.

      18. Программное обеспечение информационной системы электронной торговой площадки включает:

      1) программное обеспечение серверов веб-приложений (далее – веб-приложения);

      2) программное обеспечение для мобильных устройств (далее – мобильное приложение);

      3) программное обеспечение серверов программных интерфейсов.

      19. Разработка и (или) доработка программного обеспечения информационной системы электронной торговой площадки осуществляется в соответствии с порядком разработки и (или) доработки программного обеспечения, этапов разработки и их участников оператора.

      Если разработка и (или) доработка программного обеспечения информационной системы электронной торговой площадки передана сторонней организации и (или) третьему лицу, оператор предоставляет доступ к информационной системе электронной площадки сторонней организации и (или) третьему лицу на период и в объеме, определяемыми проводимыми работами, на основании договора, содержащего условия об обеспечении информационной безопасности электронной торговой площадки. В договорах, заключаемых со сторонней организацией и (или) третьим лицом, содержатся положения о конфиденциальности, условия о возмещении ущерба, возникшего вследствие нарушения информационной безопасности, а также сбоев в работе информационной системы электронной торговой площадки, вызванных действием или бездействием сторонней организации и (или) третьего лица.

      20. Хранение исходных кодов программного обеспечения информационной системы электронной торговой площадки осуществляется в специализированных системах управления репозиториями кода, размещаемыми в периметре защиты оператора с обеспечением резервного копирования.

      21. Независимо от принятого у оператора подхода к разработке и (или) доработке программного обеспечения информационной системы электронной торговой площадки обязательным этапом является тестирование информационной безопасности электронной торговой площадки, в ходе которого осуществляются, как минимум, следующие мероприятия:

      1) статический анализ исходного кода;

      2) анализ компонентов и сторонних библиотек.

      22. Статический анализ исходного кода программного обеспечения информационной системы электронной торговой площадки проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:

      1) наличие механизмов, допускающих инъекции вредоносного кода;

      2) использование уязвимых функций языков программирования;

      3) использование слабых и уязвимых криптографических алгоритмов;

      4) использование кода, вызывающего отказ в обслуживании или существенное замедление работы программного обеспечения информационной системы электронной торговой площадки;

      5) наличие механизмов обхода систем защиты программного обеспечения информационной системы электронной торговой площадки;

      6) использование в коде секретов в открытом виде;

      7) нарушение шаблонов и практик обеспечения безопасности программного обеспечения информационной системы электронной торговой площадки.

      23. Анализ компонентов и (или) сторонних библиотек программного обеспечения информационной системы электронной торговой площадки проводится с целью выявления уязвимостей, присущих используемой версии компонента и (или) сторонней библиотеки, а также отслеживания зависимостей между компонентами и (или) сторонними библиотеками и их версиями.

      24. Оператор обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения информационной системы электронной торговой площадки и результатов тестирования информационной безопасности, которые были введены в эксплуатацию в течение последних 3 (трех) лет.

      25. Обмен данными между клиентской и серверной сторонами программного обеспечения информационной системы электронной торговой площадки шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.

      26. Веб-приложение обеспечивает:

      1) однозначность идентификации принадлежности веб-приложения оператору (доменное имя, логотипы, корпоративные цвета, публичная контактная информация);

      2) запрет на сохранение в памяти браузера авторизационных данных;

      3) маскирование вводимых секретов;

      4) информирование на странице авторизации участника о мерах обеспечения кибербезопасности, которым рекомендуется следовать при использовании веб-приложения;

      5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе участника конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы.

      27. Мобильное приложение обеспечивает:

      1) однозначность идентификации принадлежности мобильного приложения оператору (данные в официальном магазине приложений, логотипы, корпоративные цвета);

      2) блокировку функционала по оказанию дистанционных услуг электронной торговой площадки в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

      3) уведомление участника о наличии обновлений мобильного приложения;

      4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

      5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

      6) обмен данными только с авторизованным серверным программным обеспечением серверов программных интерфейсов электронной торговой площадки;

      7) исключение кэширования конфиденциальных данных;

      8) исключение из резервных копий мобильного приложения конфиденциальных данных;

      9) информирование участника о действенных методах обеспечения кибербезопасности, которым рекомендуется следовать при использовании мобильного приложения;

      10) информирование клиента о событиях авторизации под его учетной записью, изменении и (или) восстановлении пароля, изменении, номера мобильного телефона, зарегистрированного электронной торговой площадкой;

      11) передачу в серверное программное обеспечение серверов программных интерфейсов электронной торговой площадки геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

      28. Серверное программное обеспечение серверов программных интерфейсов электронной торговой площадки обеспечивает:

      1) контроль скорости приема запросов со стороны мобильных и веб-приложений участника;

      2) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных участника, предоставляя минимально достаточную информацию для диагностики проблемы;

      3) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

      4) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.