InfoHub Logo

12 шілдеден бастап Қазақстанда банк қосымшаларына тек телефон нөмірін теріп кіру мүмкін болмайды. Қаржы ұйымдары клиенттің жеке басын мемлекеттік биометриялық деректер базасы арқылы тексеріп, телефон нөмірінің расында да сол адамға тиесілі екенін растауға міндеттеледі. Бұл талаптар Қаржы нарығын реттеу және дамыту агенттігінің (ҚНРДА) қаулысында көрсетілген.

Бұл туралы Infohub.kz ақпарат агенттігі хабарлайды.

20 сәуірде бекітілген құжат цифрлық жүйелермен жұмыс істейтін банктерге, сақтандыру компанияларына және басқа да қаржы ұйымдарына таралады. Қаулы хакерлік шабуылдар туралы реттеушіге хабарлау тәртібінен бастап пайдаланушы деректерін сақтау ережелеріне дейін бірыңғай талаптарды енгізеді.

Қаржы ұйымдарының басшыларына жауапкершілік артады

Ең маңызды өзгерістердің бірі – ақпараттық қауіпсіздік үшін жеке жауапкершілікті қаржы ұйымының бірінші басшысына жүктеу болды. Басшылық деректерді қорғау саясатын бекітуге міндетті, ал әрбір жаңа қызметкер жұмысқа орналасқаннан кейін бес жұмыс күні ішінде ақпараттық қауіпсіздік талаптарымен танысып, қол қоюы тиіс.

Үшінші тараптарға да талаптар күшейтілді

Киберқауіпсіздік талаптары енді қаржы ұйымдарының жүйелеріне немесе деректеріне қол жеткізе алатын мердігерлерге, кеңесшілерге және техникалық серіктестерге де қолданылады. Тиісті ережелер барлық келісімшарттарға енгізілуі қажет.

Кибер оқиғалар туралы дереу хабарлау

Банктер мен сақтандыру компаниялары кибер оқиғалар туралы ҚНРДА-ға дереу хабарлауға міндеттеледі. Бұл жүйелердің осалдықтарын пайдалану, жүйелерге рұқсатсыз кіру, DDoS шабуылдары, серверлердің зиянды кодпен зақымдануы, клиенттерді сәйкестендірудегі ақаулар және рұқсатсыз ақша аударымдары сияқты жағдайларды қамтиды.

Цифрлық жүйелердің бір сағаттан астам уақыт іркілісіне себеп болған кез келген оқиға да міндетті түрде ашылуға жатады.

Деректерді беру және қорғау

Ұйымдар ақпаратты уәкілетті органның автоматтандырылған жүйесі – АСОИ арқылы беруі керек. Егер ол қолжетімсіз болса, компаниялар реттеушіге телефон арқылы хабарлап, ресми хатпен хабарламаны қосарлауға міндетті.

Құжатта цифрлық инфрақұрылымды қорғауға да ерекше назар аударылған. Қаржы ұйымдарының барлық сыртқы телекоммуникациялық байланыстары шифрлануы тиіс. Ашық деректерді беру арналарын пайдалану реттеуші талаптарын бұзу болып саналады.

Банктер мен сақтандыру компанияларының пошта қызметтері, соның ішінде мемлекеттік органдармен және клиенттермен хат алмасу Қазақстан аумағында ғана орналастырылуы керек. Ұйымдар сондай-ақ SPF, DKIM және DMARC қорғау тетіктерін пайдалануға міндетті, бұл жіберушілерді қолдан жасаудан және фишингтік шабуылдардан сақтайды.

Қызметкерлерге және серверлерге қойылатын талаптар

Қаулы қызметкерлерге негізді себепсіз жергілікті әкімші құқықтарын беруге тыйым салады. Серверлерде, жұмыс станцияларында және ноутбуктерде антивирустық жүйелер немесе бағдарламалық ортаның тұтастығын бақылау құралдары орнатылуы тиіс. Бұл ретте пайдаланушы қорғауды өз бетінше өшіре алмайды.

Егер қаржы ұйымы үшінші тараптардың дерек-орталықтарын немесе бұлттық қызметтерін пайдаланса, онда үшінші тұлғалардың жеке деректерге, банктік құпияға және басқа да қорғалатын ақпаратқа қол жеткізуін болдырмауы керек.

Клиенттер үшін ең айқын өзгеріс

Клиенттер үшін ең айқын өзгерістердің бірі – цифрлық қызметтерге қол жеткізудің жаңа тәртібі болады. Ұялы банкке немесе жеке кабинетке сырттан кез келген кіру кемінде екі тәуелсіз аутентификация факторымен расталуы тиіс.

Қаулыда факторлардың үш түрі қарастырылған: пароль немесе құпия сұрақ, физикалық құрылғы немесе криптографиялық кілт, сондай-ақ биометриялық деректер. Авторизация үшін кез келген екі фактордың комбинациясы қажет болады.

Қаржы ұйымдары жүйелерге кірудің барлық әрекеттерін – сәтті және сәтсіз болғандарын, соның ішінде IP мекенжайларын, қауіпсіздік параметрлерін, тіркелгілерді және қол жеткізу құқықтарын өзгертуді тіркеуге міндеттеледі. Бұл деректер кемінде үш ай бойы жедел қолжетімділікте және кемінде бір жыл бойы архивте сақталуы тиіс.

Клиенттерді қашықтан тіркеудің жаңа ережелеріне ерекше назар аударылған. Енді қашықтан сәйкестендіруге мемлекеттік деректер базасы арқылы бет бейнесі бойынша биометриялық тексеру және телефон нөмірінің иесі екенін растау (мемлекеттік ұялы нөмірлер базасында тіркелген) немесе ЭЦП арқылы растау кіреді.

Басқаша айтқанда, енді жай есім мен телефон нөмірін енгізіп, банк қосымшасына тіркелу мүмкін болмайды. Жүйе клиенттің жүзін мемлекеттік базамен салыстырып, телефон нөмірінің расында да сол адамға тиесілі екеніне, басқа біреудің атына сатып алынбағанына немесе деректердің ұрлануынан алынбағанына көз жеткізуі керек.

Аталған жаңа талаптарды орындауды бақылау тетіктері мен бұзушылықтар үшін санкциялар әзірге құжатта нақтыланбаған. Қаулының орындалуын бақылау ҚНРДА төрағасының орынбасарына жүктелген.