О внесении дополнения в постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах"

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 17 октября 2023 года № 75. Зарегистрировано в Министерстве юстиции Республики Казахстан 20 октября 2023 года № 33560

      Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Внести в постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 16772) следующее дополнение:

      в Требованиях к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, утвержденных указанным постановлением:

      дополнить главой 10 следующего содержания:

      "Глава 10. Требования к обеспечению безопасности программного обеспечения дистанционного оказания услуг банка, организации

      144. Программное обеспечение дистанционного оказания услуг банка, организации включает:

      1) программное обеспечение серверов веб-приложений (далее – веб-приложение);

      2) программное обеспечение для мобильных устройств (далее – мобильное приложение);

      3) программное обеспечение серверов программных интерфейсов (далее – серверное ППО).

      145. Разработка и (или) доработка программного обеспечения дистанционного оказания услуг осуществляется банком, организацией в соответствии с внутренними документами банка, организации, регламентирующими порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.

      146. В случае, если разработка и (или) доработка программного обеспечения дистанционного оказания услуг банка, организации передана сторонней организации и (или) третьему лицу, банк, организация обеспечивает исполнение сторонней организацией и (или) третьим лицом требований настоящей главы и внутренних документов, отвечает за состояние безопасности программного обеспечения дистанционного оказания услуг.

      147. Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в банке, организации, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты банка, организации, с обеспечением резервного копирования.

      148. Независимо от принятого в банке, организации подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным этапом является тестирование безопасности, в ходе которого осуществляются, как минимум, следующие мероприятия:

      1) статический анализ исходного кода;

      2) анализ компонентов и сторонних библиотек.

      149. Статический анализ исходного кода программного обеспечения дистанционного оказания услуг банка, организации проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:

      1) наличие механизмов, допускающих инъекции вредоносного кода;

      2) использование уязвимых операторов и функций языков программирования;

      3) использование слабых и уязвимых криптографических алгоритмов;

      4) использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы приложения;

      5) наличие механизмов обхода систем защиты приложения;

      6) использование в коде секретов в открытом виде;

      7) нарушение шаблонов и практик обеспечения безопасности приложения.

      150. Анализ компонентов и (или) сторонних библиотек программного обеспечения дистанционного оказания услуг банка, организации проводится с целью выявления известных уязвимостей, присущих используемой версии компонента и (или) сторонней библиотеки, а также отслеживания зависимостей между компонентами и (или) сторонними библиотеками и их версиями.

      151. Банк, организация обеспечивают реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные уязвимости устраняются до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий.

      152. Банк, организация осуществляют ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий после согласования с подразделением по информационной безопасности.

      153. Банк, организация обеспечивают хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 (трех) лет.

      154. Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.

      155. При первичной регистрации клиента в мобильном приложении банк, организация осуществляют биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (далее - ЦОИД) или с использованием биометрических данных, полученных посредством устройств банка, организации.

      156. Изменение кода доступа (пароля) к мобильному приложению осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка, организации.

      157. Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами банка, организации.

      158. Механизм кроссдоменной аутентификации программного обеспечения дистанционного оказания услуг согласовывается с подразделением по информационной безопасности.

      159. Веб-приложение обеспечивает:

      1) однозначность идентификации принадлежности веб-приложения банку, организации (доменное имя, логотипы, корпоративные цвета);

      2) запрет на сохранение в памяти браузера авторизационных данных;

      3) маскирование вводимых секретов;

      4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;

      5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.

      160. Мобильное приложение обеспечивает:

      1) однозначность идентификации принадлежности мобильного приложения банку, организации (данные в официальном магазине приложений, логотипы, корпоративные цвета);

      2) блокировку функционала по оказанию дистанционных услуг банка, организации в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

      3) уведомление клиента о наличии обновлений мобильного приложения;

      4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

      5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

      6) исключение кэширования конфиденциальных данных;

      7) исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;

      8) информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

      9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного банком, организацией номера мобильного телефона;

      10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО банка, организации геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

      161. Банк, организация обеспечивает на своей стороне:

      1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

      2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

      3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.".

      2. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка

М. Абылкасымова

"Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысына толықтыру енгізу туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2023 жылғы 17 қазандағы № 75 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2023 жылғы 20 қазанда № 33560 болып тіркелді

      Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. "Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16772 болып тіркелген) мынадай толықтыру енгізілсін:

      көрсетілген қаулымен бекітілген Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарда:

      мынадай мазмұндағы 10-тараумен толықтырылсын:

      "10-тарау. Банктің, ұйымның қашықтан қызмет көрсету бағдарламалық қамтылымының қауіпсіздігіне қойылатын талаптар

      144. Банктің, ұйымның қашықтан қызмет көрсету бағдарламалық қамтылымына:

      1) веб-қосымшалар серверлерінің бағдарламалық қамтылымы (бұдан әрі – веб-қосымша);

      2) мобильді құрылғыларға арналған бағдарламалық қамтылым (бұдан әрі – мобильді қосымша);

      3) бағдарламалық интерфейстердің бағдарламалық қамтылымы (бұдан әрі – серверлік ҚБҚ) кіреді.

      145. Қашықтан қызмет көрсету бағдарламалық қамтылымын әзірлеу және (немесе) пысықтауды банк, ұйым бағдарламалық қамтылымды әзірлеу және (немесе) пысықтау тәртібін, әзірлеу кезеңдерін және олардың қатысушыларын регламенттейтін банктің, ұйымның ішкі құжаттарына сәйкес жүзеге асырады.

      146. Банктің, ұйымның қашықтан қызмет көрсету бағдарламалық қамтылымын әзірлеу және (немесе) пысықтау тысқары ұйымға және (немесе) үшінші тұлғаға берілген жағдайда, банк, ұйым тысқары ұйымның және (немесе) үшінші тұлғаның осы тараудың және ішкі құжаттардың талаптарын орындауын қамтамасыз етеді, қашықтан қызмет көрсету бағдарламалық қамтылымның қауіпсіздігі жағдайы үшін жауап береді.

      147. Банкте, ұйымда әзірленетін қашықтан қызмет көрсету бағдарламалық қамтылымның бастапқы кодтарын сақтау резервтік көшірме жасауды қамтамасыз ете отырып, банктің, ұйымның аясында орналастырылатын мамандандырылған код репозиторияларын басқару жүйесінде жүзеге асырылады.

      148. Банкте, ұйымда қабылданған қашықтан қызмет көрсету бағдарламалық қамтылымды әзірлеу және (немесе) пысықтау тәсіліне қарамастан, қауіпсіздікті тестілеу міндетті кезең болып табылады, оның барысында кемінде мынадай іс-шаралар жүзеге асырылады:

      1) бастапқы кодтың статикалық талдауы;

      2) құрауыштардың және тысқары кітапханалардың талдауы.

      149. Банктің, ұйымның қашықтан қызмет көрсету бағдарламалық қамтылымының бастапқы кодының статикалық талдауы тексерілетін бағдарламалық қамтылымда қолданылатын барлық бағдарламалау тілінің талдауын қолдайтын, бастапқы кодтың статикалық талдауының сканерін пайдаланумен жүргізіледі, оның функцияларына мынадай осалдықтарды анықтау кіреді, бірақ олармен шектелмейді:

      1) зиянды кодтың кіруіне мүмкіндік беретін тетіктердің болуы;

      2) осал операторларды және бағдарламалау тілдерінің функцияларын пайдалану;

      3) әлсіз және осал криптографиялық алгоритмдерді қолдану;

      4) белгілі бір жағдайларда қызмет көрсетуден бас тартуды немесе қосымшаның жұмысын айтарлықтай баяулатуды тудыратын кодты пайдалану;

      5) қосымшаны қорғау жүйелерін айналып өту тетіктерінің болуы;

      6) кодта құпияларды ашық түрде пайдалану;

      7) қосымшаның қауіпсіздігін қамтамасыз ету үлгілері мен тәжірибелерін бұзу.

      150. Банктің, ұйымның қашықтан қызмет көрсету бағдарламалық қамтылымының құрауыштарын және (немесе) тысқары кітапханаларын талдау құрауыштың және (немесе) тысқары кітапхананың қолданылатын нұсқасына тән белгілі осалдықтарды анықтау мақсатында, сондай-ақ құрауыштар және (немесе) тысқары кітапханалар және олардың нұсқалары арасындағы тәуелділіктерді бақылау үшін жүргізіледі.3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      151. Банк, ұйым атқарушы орган бекіткен ішкі құжатта айқындалған тәртіпте анықталған осалдықтарды жою жөнінде түзету шараларының іске асырылуын қамтамасыз етеді. Бұл ретте, маңызды осалдықтар қашықтан қызмет көрсету бағдарламалық қамтылымды және (немесе) оның жаңа нұсқаларын пайдалануға енгізуге дейін жойылады.

      152. Банк, ұйым ақпараттық қауіпсіздік бөлімшесімен келісілгеннен кейін қашықтан қызмет көрсету бағдарламалық қамтылымын және (немесе) оның жаңа нұсқаларын пайдалануға енгізуді жүзеге асырады.

      153. Банк, ұйым қашықтан қызмет көрсету бағдарламалық қамтылымының бастапқы кодтарының және соңғы 3 (үш) жыл ішінде пайдалануға енгізілген қауіпсіздікті тестілеу нәтижелерінің барлық нұсқаларын жедел режимде сақтауды және оларға қол жеткізуді қамтамасыз етеді.

      154. Қашықтан қызмет көрсету бағдарламалық қамтылымының клиенттік және серверлік тараптары арасында деректер алмасу Transport Layer Security (Транспорт Лейер Секьюрити) шифрлау хаттамасының 1.2-ден төмен емес нұсқасын пайдалана отырып шифрланады.

      155. Банктің, ұйымның мобильді қосымшасында клиентті бастапқы тіркеу кезінде Сәйкестендіру деректерімен алмасу орталығы (бұдан әрі – СДАО) арқылы немесе банктің, ұйымның құрылғылары арқылы алынған биометриялық деректерді пайдалана отырып, клиентті биометриялық сәйкестендіруді жүзеге асырады.

      156. Мобильді қосымшаға кіру кодын (құпиясөзін) өзгерту СДАО растаған немесе банктің, ұйымның құрылғылары арқылы алынған биометриялық деректерді пайдалана отырып, клиентті биометриялық сәйкестендіруді қолданумен жүзеге асырылады.

      157. Қашықтан қызмет көрсету бағдарламалық қамтылымда клиентті сәйкестендіру және бірдейлендіру банктің, ұйымның ішкі құжаттарында белгіленген қауіпсіздік рәсімдеріне сәйкес екі факторлы (үш фактордың екеуін қолдану: білім, иелену, ажырамастық) бірдейлендіру әдістерін қолдана отырып жүзеге асырылады.

      158. Қашықтан қызмет көрсету бағдарламалық қамтылымды кроссдомендік бірдейлендіру тетігі ақпараттық қауіпсіздік жөніндегі бөлімшемен келісіледі.

      159. Веб-қосымша:

      1) веб-қосымшаның тек қана банкке, ұйымға тиесілігін сәйкестендіруді (домендік аты, логотиптері, корпоративтік түстері);

      2) браузердің жадысында авторландырылған деректерді сақтауға тыйым салуды;

      3) енгізілген құпияларды бүркемелеуді;

      4) клиентті авторландыру парақшасында веб-қосымшаны пайдалану кезінде басшылыққа алу ұсынылатын кибергигиенаны қамтамасыз ету шаралары туралы хабардар етуді;

      5) қате туралы ең аз қажетті ақпарат бере отырып, клиенттің интерфейсінде конфиденциалды деректердің көрсетілуіне жол бермей қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді қамтамасыз етеді.

      160. Мобильді қосымша:

      1) мобильді қосымшаның тек қана банкке, ұйымға тиесілігін сәйкестендіруді (қосымшалардың ресми дүкеніндегі деректер, логотиптер, корпоративтік түстер);

      2) операциялық жүйенің тұтастығын бұзу және (немесе) қорғау тетіктерін айналып өту белгілерін анықтаған, қашықтан басқару процестерін анықтаған жағдайда банктің, ұйымның қашықтан қызмет көрсету бойынша функционалын бұғаттауды;

      3) клиентті мобильді қосымшаның жаңартуларының бар екендігі туралы хабардар етуді;

      4) маңызды осалдықтарды жою қажет болған жағдайда, мобильді қосымшаның жаңартуларын мәжбүрлеп орнату немесе оларды орнатқанға дейін мобильді қосымшаның функционалын бұғаттау мүмкіндігін;

      5) конфиденциалды деректерді мобильді қосымшаның қорғалған контейнерінде немесе жүйелік есепктік деректерді сақтау орнында сақтауды;

      6) конфиденциалды деректерді кэштеуді алып тастауды;

      7) мобильді қосымшаның резервтік көшірмелерінен ашық түрдегі конфиденциалды деректерді алып тастауды;

      8) клиентті мобильді қосымшаны пайдалану кезінде басшылыққа алу ұсынылатын кибергигиенаны қамтамасыз етудің әдістері туралы хабардар етуді;

      9) клиентті оның есептік жазбасындағы авторландыру оқиғалары, құпиясөзді өзгерту және (немесе) қалпына келтіру, банк, ұйым тіркеген мобильді телефон нөмірінің өзгеруі туралы хабардар етуді;

      10) ақшалай қаражатпен операцияларды жүзеге асыру барысында -клиенттің рұқсаты болған жағдайда банктің, ұйымның серверлік ҚБҚ-ға мобильді құрылғының геолокациялық деректерін беру не мұндай рұқсаттың жоқ екендігі туралы ақпарат беруді қамтамасыз етеді.

      161. Банк, ұйым өз тарапынан:

      1) жауапта конфиденциалды деректердің жария болуына жол бермей, проблеманы анықтау үшін ең аз қажетті ақпарат ұсына отырып, қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді;

      2) мобильді қосымшаларды және олармен байланысты құрылғыларды сәйкестендіруді және бірдейлендіруді;

      3) жалған сұрау салулармен және зиянды кодтың кірулерімен шабуылдардың алдын алу үшін деректердің жарамдылығын тексеруді қамтамасыз етеді.".

      2. Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы

М. Абылкасымова