Нацбанк планирует обязать банки КР усилить защиту приложений и дата-центров

Нацбанк планирует обязать банки КР усилить защиту приложений и дата-центров

Нацбанк вынес на общественное обсуждение проект изменений в требования по информационной безопасности коммерческих банков. Документ существенно усиливает правила защиты банковской инфраструктуры, делает обязательной международную сертификацию по стандарту ISO 27001 и вводит новые требования к защите мобильных приложений, центров обработки данных и программного обеспечения.

Из пояснительной записки следует, что изменения связаны сразу с двумя задачами. Первая — привести нормативную базу в соответствие с законом «О кибербезопасности КР». Вторая — подготовить банковскую систему к внедрению цифрового сома, которое потребует единых и более жестких стандартов информационной безопасности для всех участников рынка.

Авторы проекта также отмечают, что в работе мобильных приложений некоторых банков выявляли недостатки, включая случаи недоступности сервисов, что свидетельствует о необходимости усилить требования к тестированию и контролю качества.

Одним из самых значимых нововведений станет обязательная сертификация всех банков по международному стандарту ISO 27001. Если сейчас положение лишь допускает построение системы управления информационной безопасностью в соответствии с этим стандартом, то после принятия изменений банки будут обязаны пройти сертификацию, регулярно подтверждать ее и предоставлять Национальному банку информацию о прохождении аудитов.

Проект также вводит десятки новых технических требований. Банки должны будут создать комитеты по информационной и кибербезопасности на уровне правления, проводить пересмотр прав доступа сотрудников минимум раз в шесть месяцев, отказаться от использования заводских паролей по умолчанию и ежегодно тестировать планы обеспечения непрерывности деятельности. Функции восстановления критически важных банковских систем при чрезвычайных ситуациях запрещается передавать на аутсорсинг.

Серьезно усиливают требования к разработке банковского программного обеспечения. Перед вводом информационных систем в эксплуатацию банки должны проводить анализ уязвимостей, тестирование на проникновение, статический и динамический анализ кода, а также проверять устойчивость к DDoS-атакам, SQL-инъекциям и другим распространенным киберугрозам. Для мониторинга событий информационной безопасности потребуется использовать специализированные системы класса PAM, DLP, SIEM и IDS/IPS.

Изменения затронут и мобильный банкинг. Банки обяжут проверять устройства клиентов на наличие root-доступа или jailbreak. При обнаружении таких признаков доступ к мобильному приложению должен быть заблокирован. Одновременно банки должны будут непрерывно информировать клиентов обо всех операциях, совершаемых от их имени.

Еще одно важное требование касается инфраструктуры. Каждый банк должен иметь собственный центр обработки данных для хранения клиентской информации и проведения платежей, а также резервный ЦОД для обеспечения бесперебойной работы. Дополнительно ужесточаются требования к физической защите серверных помещений, системам видеонаблюдения, электропитанию, охлаждению и контролю доступа.
🧭
Национальный банк также предлагает обязать комбанки сообщать обо всех инцидентах информационной безопасности, классифицировать их по уровням критичности, документировать расследования и закреплять в договорах обязанность подрядчиков и аутсорсинговых компаний соблюдать те же требования по защите информации, что действуют для самих банков.

Нацбанк отменил ограничения на транзитные расчеты без поставки товаров в Кыргызстан
Национальный банк КР отменил ограничения на внешнеторговые расчеты по контрактам без фактической поставки товаров, работ и услуг на территорию Кыргызстана. Решение правление регулятора приняло 15 мая 2026 года. Речь идет о постановлении «Об обеспечении экономической безопасности и поддержании финансовой стабильности» от 4 сентября 2024 года, а также двух последующих изменениях

Еще статьи из категории

Еще статьи из категории