В комбанках Кыргызстана внедрят международные стандарты киберзащиты

Нацбанк КР готовит масштабное обновление требований по информационной безопасности для коммерческих банков страны. Регулятор предлагает внедрить международный стандарт ISO 27001 и обязать банки пройти сертификацию до конца 2028 года.

В комбанках Кыргызстана внедрят международные стандарты киберзащиты

На общественное обсуждение вынесен проект постановления НБ КР «Об утверждении Положения «О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики» от 22 декабря 2021 года. Документ разработан для приведения НПА НБ КР в соответствие с требованиями закона КР «О кибербезопасности Кыргызской Республики» от 17 июля 2024 года. 

Внесение изменений призвано обеспечить высокий уровень кибербезопасности всех участников рынка, что является важным этапом подготовки к интеграции цифрового сома.

Предстоящее внедрение цифрового сома повышает требования к уровню защищенности и киберустойчивости инфраструктуры коммерческих банков республики.

Регулятор предлагает:

  • установить обязательной нормой внедрение комбанками международного стандарта ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности - Системы управления информационной безопасностью» и обязательную сертификацию на соответствие международному стандарту ISO 27001;
  • усилить контроль над безопасностью разработки и тестирования программного обеспечения.

В случае принятия проекта постановления коммерческие банки обязаны в IV квартале 2026 года предоставить в Национальный банк КР план прохождения сертификации по международному стандарту ISO 27001 и получить сертификат соответствия до 31 декабря 2028 года.

Среди задач проекта постановления также названы: 

  • дополнительные требования для предотвращения мошенничества; 
  • укрепление требований к физической безопасности; 
  • усиление требований к аутсорсинговым компаниям и поставщикам услуг.

В справке-обосновании к проекту постановления сообщается, что в ряде случаев в цифровых продуктах комбанков отмечены недостатки в работе мобильных приложений. Это показывает недостаточную проработку процессов тестирования и контроля качества перед запуском новых продуктов.

В свете участившихся случаев мошенничества Нацбанк предлагает ввести дополнительные технические требования по противодействию мошенничеству. 

Проектом предлагается актуализировать Положение по обеспечению информационной безопасности для коммерческих банков, внедрив изменения: 

  • обязательная передача информации по инцидентам информационной безопасности согласно требованиям закона «О кибербезопасности Кыргызской Республики; 
  • введение обязательной сертификации поднадзорных организаций по международному стандарту ISO 27001; 
  • установление обновленных требований к безопасной разработке информационных систем и ПО, включая обязательное тестирование, анализ уязвимостей, статический и динамический анализ кода; 
  • усиление требований к аутсорсингу и поставщикам услуг, участвующим в сопровождении информационных систем; 
  • установление дополнительных требований для противодействия мошенничеству; 
  • повышение требований к физической безопасности информационной инфраструктуры.

В предлагаемой редакции проекта постановления в пункт 34 внесено изменение:

В банке должна быть разработана и внедрена политика паролей. Она должна включать как минимум такие основные правила и компоненты, как: 

  • требования к степени сложности и длине пароля;  
  • требования по недопустимости записи и хранения паролей на материальных носителях;
  • ответственность пользователей за нарушение политики;
  • запрет на использование системных паролей, установленных производителем по умолчанию.

Внесенные изменения направлены на повышение уровня кибербезопасности и не ограничивают права физических и юридических лиц. Ожидается снижение уровня мошенничества в связи с внедрением дополнительных технических требований. 

Отмечается, что принятие этого проекта постановления не повлечет негативных социальных, экономических, правовых, правозащитных, гендерных, экологических и коррупционных последствий.  

Более подробно с документом можно ознакомиться по ссылке.

Комментарийлер

Азырынча комментарий жок

Комментарий калтырган биринчи болуңуз!

Комментарий калтыруу үчүн авторизациядан өтүңүз керек.