Нацбанк планирует обязать банки КР усилить защиту приложений и дата-центров
Нацбанк вынес на общественное обсуждение проект изменений в требования по информационной безопасности коммерческих банков. Документ существенно усиливает правила защиты банковской инфраструктуры, делает обязательной международную сертификацию по стандарту ISO 27001 и вводит новые требования к защите мобильных приложений, центров обработки данных и программного обеспечения.
Из пояснительной записки следует, что изменения связаны сразу с двумя задачами. Первая — привести нормативную базу в соответствие с законом «О кибербезопасности КР». Вторая — подготовить банковскую систему к внедрению цифрового сома, которое потребует единых и более жестких стандартов информационной безопасности для всех участников рынка.
Авторы проекта также отмечают, что в работе мобильных приложений некоторых банков выявляли недостатки, включая случаи недоступности сервисов, что свидетельствует о необходимости усилить требования к тестированию и контролю качества.
Одним из самых значимых нововведений станет обязательная сертификация всех банков по международному стандарту ISO 27001. Если сейчас положение лишь допускает построение системы управления информационной безопасностью в соответствии с этим стандартом, то после принятия изменений банки будут обязаны пройти сертификацию, регулярно подтверждать ее и предоставлять Национальному банку информацию о прохождении аудитов.
Проект также вводит десятки новых технических требований. Банки должны будут создать комитеты по информационной и кибербезопасности на уровне правления, проводить пересмотр прав доступа сотрудников минимум раз в шесть месяцев, отказаться от использования заводских паролей по умолчанию и ежегодно тестировать планы обеспечения непрерывности деятельности. Функции восстановления критически важных банковских систем при чрезвычайных ситуациях запрещается передавать на аутсорсинг.
Изменения затронут и мобильный банкинг. Банки обяжут проверять устройства клиентов на наличие root-доступа или jailbreak. При обнаружении таких признаков доступ к мобильному приложению должен быть заблокирован. Одновременно банки должны будут непрерывно информировать клиентов обо всех операциях, совершаемых от их имени.
Еще одно важное требование касается инфраструктуры. Каждый банк должен иметь собственный центр обработки данных для хранения клиентской информации и проведения платежей, а также резервный ЦОД для обеспечения бесперебойной работы. Дополнительно ужесточаются требования к физической защите серверных помещений, системам видеонаблюдения, электропитанию, охлаждению и контролю доступа.

