Новые требования по защите безопасности при онлайн-кредитовании примут в Казахстане

Дополнительные меры разработали в Агентстве по регулированию и развитию финансового рынка


Дополнительные меры по обеспечению информационной безопасности банков разработали в Агентстве РК по развитию и регулированию финансового рынка. Нормы предлагается включить в рамках постановления правления АРРФР «О внесении изменения в постановление правления Национального банка Республики Казахстан от 27 марта 2018 года № 48 «Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах».

Документ размещен для обсуждения на портале «Открытые НПА» до 6 октября, передает корреспондент центра деловой информации Kapital.kz.

Как указывается в документе, нормы вносятся в целях усиления подходов к обеспечению безопасности программного обеспечения дистанционного оказания услуг банков или финансовых организаций.

«Соответствующий порядок усиления защиты онлайн-кредитования закреплен пунктом 9 Дорожной карты по реализации механизмов противодействия кредитному мошенничеству, утверждённой вице-премьером РК №12-01/1150-3//23-63-8.18-5 от 28.04.2023 г.», — говорится в обосновании.

В частности, в постановление предлагается добавить главу, которая формирует требования к обеспечению безопасности программного обеспечения дистанционного оказания финансовых услуг.

Так, согласно им, программное обеспечение (ПО) дистанционного оказания услуг БВУ или ФО должно включать:

1) программное обеспечение серверов веб-приложений (веб-приложение);

2) программное обеспечение для мобильных устройств (мобильное приложение);

3) программное обеспечение серверов программных интерфейсов (серверное ППО).

Разработка и (или) доработка ПО дистанционного оказания услуг должна будет осуществляться финучреждениями в соответствии с утверждённым исполнительным органом внутренним документом, регламентирующим порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.

В случае, если разработка и (или) доработка ПО передана сторонней организации и (или) третьему лицу, БВУ или ФО должны будут обеспечить исполнение сторонней организацией и (или) третьим лицом предлагаемых требований и внутренних документов, которые будут отвечать за состояние безопасности программного обеспечения дистанционного оказания услуг.

Хранить исходные коды фининституты должны будут в специализированных системах управления репозиториями кода, размещаемых в периметре защиты БВУ, организации, с обеспечением резервного копирования.

Независимо от принятого в банке или организации подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным этапом должно являться тестирование безопасности:

1) статический анализ исходного кода;

2) анализ компонентов и (или) сторонних библиотек.

Статический анализ исходного кода будет проводиться с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:

1) наличие механизмов, допускающих инъекции вредоносного кода;

2) использование уязвимых операторов и (или) функций языков программирования;

3) использование слабых и (или) уязвимых криптографических алгоритмов;

4) использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы приложения;

5) наличие механизмов обхода систем защиты приложения;

6) использование в коде секретов в открытом виде;

7) нарушение шаблонов и практик обеспечения безопасности приложения.

Анализ компонентов и (или) сторонних библиотек программного обеспечения дистанционного оказания услуг банка, организации будет проводиться с целью выявления известных уязвимостей, присущих используемой версии компонента и (или) сторонней библиотеки, а также отслеживания зависимостей между компонентами и (или) сторонними библиотеками и их версиями.

Банк или микрофинансовая организация должны будут обеспечивать реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утверждённым исполнительным органом. При этом критичные уязвимости они будут устранять до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий.

Также они должны будут осуществлять ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий после согласования с подразделением по информационной безопасности.

Кроме того, вышеуказанные учреждения планируют обязать обеспечивать хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию.

Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг должен будет шифроваться с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.

При первичной регистрации клиента в мобильном приложении банки или финорганизации должны будут осуществлять его биометрическую идентификацию посредством Центра обмена идентификационными данными (ЦОИД) или с использованием биометрических данных, полученных посредством устройств БВУ или ФО.

Планируется установить требование по изменению кода доступа (пароля) к мобильному приложению посредством биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств финучреждений.

Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг должны будут проводиться с применением способов двухфакторной аутентификации (использованием двух из трёх факторов: знания, владения, неотъемлемости). Делегирование функций идентификации и аутентификации клиента сторонним организациям и (или) третьим лицам не допускается.

Кроссдоменная аутентификация при этом должна будет осуществляться только между доменами третьего уровня или выше, которые имеют общий родительский домен второго уровня, или между доменом второго уровня и его дочерними доменами.

Веб-приложение должно будет обеспечивать:

1) однозначность идентификации принадлежности веб-приложения банку, организации (доменное имя, логотипы, корпоративные цвета);

2) запрет на сохранение в памяти браузера авторизационных данных;

3) маскирование вводимых секретов;

4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;

5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы.

МП не будет использовать функционал встраиваемых веб-страниц (компонент WebView (ВебВью).

Мобильное приложение должно будет обеспечивать:

1) однозначность идентификации принадлежности мобильного приложения банку, организации (данные в официальном магазине приложений, логотипы, корпоративные цвета);

2) блокировку функционала по оказанию дистанционных услуг банка, организации в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удалённого управления;

3) уведомление клиента о наличии обновлений мобильного приложения;

4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учётных данных;

6) обмен данными только с авторизованным серверным ППО банка, организации;

7) исключение кеширования конфиденциальных данных;

8) исключение из резервных копий мобильного приложения конфиденциальных данных;

9) информирование клиента о действенных методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

10) информирование клиента о событиях авторизации под его учётной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного банком, организацией номера мобильного телефона;

11) в ходе осуществления операций с денежными средствами — передачу в серверное ППО банка, организации геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

Серверное ППО должно будет обеспечивать:

1) контроль скорости приёма запросов со стороны мобильных и веб-приложений клиента;

2) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

3) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

4) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.