Банки в Казахстане переходят на жесткие киберправила: что ждет клиентов
АРРФР утвердило новые минимальные требования по кибербезопасности для банков и финкомпаний: шифрование каналов, DMARC-почта, биометрическая идентификация клиентов, обязательная отчетность о киберинцидентах и защита внешних дата-центров.
Агентство по регулированию и развитию финансового рынка утвердило обновленные минимальные стандарты по информационной безопасности, которые станут обязательными для всех участников финсектора. Документ расширяет требования к защите инфраструктуры, цифровым сервисам, почтовым системам и процессам идентификации клиентов, передает Finratings.kz.
Эксперты считают, что новые правила фактически формируют единый киберщит финансовой системы Казахстана.
Почему правила усилили именно сейчас
В последние годы финансовый сектор сталкивается с ростом фишинговых кампаний, попыток удаленного доступа к банковским системам и атак на почтовую инфраструктуру.
По оценкам специалистов рынка, значительная часть инцидентов связана с:
- слабой защитой корпоративной переписки;
- отсутствием контроля за внешними сервисами;
- ошибками при удаленной идентификации клиентов;
- недостаточной фиксацией событий безопасности.
В этой связи регулятор решил ввести единый и обязательный для всех стандарт.
Какие требования теперь обязательны
Обновленный документ включает базовые и подтвержденные нормы по защите информационных систем финансовых организаций. К ключевым требованиям относятся:
1. Защита каналов связи
Финансовые организации обязаны обеспечивать безопасную передачу данных и использовать современные методы криптографической защиты. Это необходимо для предотвращения перехвата, подмены или несанкционированного доступа к информации.
2. Обеспечение безопасности электронной почты
Документ устанавливает обязанность принимать меры по защите корпоративной электронной почты и предотвращению фишинговых атак.
К таким мерам относятся:
- использование механизмов проверки подлинности отправителя;
- фильтрация вредоносного трафика;
- предотвращение подмены доменного имени.
3. Контроль целостности и аудит информационных систем
Финансовые организации обязаны:
- контролировать изменение критически важных системных ресурсов;
- вести журналы аудита событий;
- обеспечивать сохранность и доступность журналов для последующего анализа;
- фиксировать инциденты безопасности и проводить расследования.
4. Усиленная идентификация клиентов
Вводится новая обязательная практика: двухфакторная аутентификация для всех ключевых операций; биометрическая идентификация через государственную базу изображений.
5. Защита внешних дата-центров и подрядчиков
Финкомпании обязаны:
– обеспечивать безопасное подключение к коммерческим дата-центрам;
– контролировать доступ третьих лиц;
– регулярно выполнять резервное копирование и тестирование восстановления.
Постановление начнет действовать через 60 дней после официальной публикации.