Агентство по регулированию и развитию финансового рынка (АРРФР) утвердило минимальные требования по информационной безопасности, которые должны будут соблюдать банки и другие финансовые организации, сообщает Ulysmedia.kz.
Требования начнут действовать с 12 июля. В документе указано, что ответственность за информационную безопасность будут лично нести руководители финансовых организаций. Банки и другие учреждения также должны будут сообщать уполномоченным органам обо всех инцидентах — в том числе об авариях, из-за которых цифровые системы не работают более часа, сбоях при идентификации клиентов, случаях взлома или заражения вирусами.
Все участники рынка должны будут пользоваться только казахстанскими адресами электронной почты и только теми сервисами, которые обеспечивают основные механизмы защиты информации. Доступ к правам локального администратора строго ограничат. На всех устройствах, используемых работниками финансовых учреждений, должны будут установить антивирусы и системы, контролирующие неизменность программной среды. Периодичность резервного копирования данных участники рынка смогут определять сами, но совсем без него обойтись будет невозможно.
Все действия в информационных системах банков и других финансовых организаций будут отслеживать с помощью особого «аудиторского следа». Это будет касаться в том числе и действий клиентов. Хранить эту информацию станут не менее трёх месяцев в оперативном доступе и ещё не менее года — в архивном режиме.
Идентифицировать пользователей и клиентов будут по трём критериям: знание (информация, которой больше ни у кого нет — например, ключевое слово), владение (наличие конкретного устройства или криптографического ключа) и неотъемлемость (биометрические параметры). При дистанционной регистрации клиента в банковском приложении будут применять как минимум две проверки — биометрическую, по лицу, и по номеру телефона либо электронной подписи.
Ранее в АРРФР перечислили причины, по которым банки блокируют счета казахстанцев.