На общественное обсуждение вынесен проект постановления НБ КР «Об утверждении Положения «О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики» от 22 декабря 2021 года. Документ разработан для приведения НПА НБ КР в соответствие с требованиями закона КР «О кибербезопасности Кыргызской Республики» от 17 июля 2024 года.
Внесение изменений призвано обеспечить высокий уровень кибербезопасности всех участников рынка, что является важным этапом подготовки к интеграции цифрового сома.
Предстоящее внедрение цифрового сома повышает требования к уровню защищенности и киберустойчивости инфраструктуры коммерческих банков республики.
Регулятор предлагает:
- установить обязательной нормой внедрение комбанками международного стандарта ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности - Системы управления информационной безопасностью» и обязательную сертификацию на соответствие международному стандарту ISO 27001;
- усилить контроль над безопасностью разработки и тестирования программного обеспечения.
В случае принятия проекта постановления коммерческие банки обязаны в IV квартале 2026 года предоставить в Национальный банк КР план прохождения сертификации по международному стандарту ISO 27001 и получить сертификат соответствия до 31 декабря 2028 года.
Среди задач проекта постановления также названы:
- дополнительные требования для предотвращения мошенничества;
- укрепление требований к физической безопасности;
- усиление требований к аутсорсинговым компаниям и поставщикам услуг.
В справке-обосновании к проекту постановления сообщается, что в ряде случаев в цифровых продуктах комбанков отмечены недостатки в работе мобильных приложений. Это показывает недостаточную проработку процессов тестирования и контроля качества перед запуском новых продуктов.
В свете участившихся случаев мошенничества Нацбанк предлагает ввести дополнительные технические требования по противодействию мошенничеству.
Проектом предлагается актуализировать Положение по обеспечению информационной безопасности для коммерческих банков, внедрив изменения:
- обязательная передача информации по инцидентам информационной безопасности согласно требованиям закона «О кибербезопасности Кыргызской Республики;
- введение обязательной сертификации поднадзорных организаций по международному стандарту ISO 27001;
- установление обновленных требований к безопасной разработке информационных систем и ПО, включая обязательное тестирование, анализ уязвимостей, статический и динамический анализ кода;
- усиление требований к аутсорсингу и поставщикам услуг, участвующим в сопровождении информационных систем;
- установление дополнительных требований для противодействия мошенничеству;
- повышение требований к физической безопасности информационной инфраструктуры;
- обязательное предоставление в НБ КР информации об инцидентах информационной безопасности.
В предлагаемой редакции проекта постановления в пункт 34 внесено изменение:
В банке должна быть разработана и внедрена политика паролей. Политика паролей должна включать в себя как минимум такие основные правила и компоненты, как:
- требования к степени сложности и длине пароля;
- требования по недопустимости записи и хранения паролей на материальных носителях;
- ответственность пользователей за нарушение политики;
- запрет на использование системных паролей, установленных производителем по умолчанию.
Внесенные изменения направлены на повышение уровня кибербезопасности и не ограничивают права физических и юридических лиц. Ожидается снижение уровня мошенничества в связи с внедрением дополнительных технических требований.
Отмечается, что принятие этого проекта постановления не повлечет негативных социальных, экономических, правовых, правозащитных, гендерных, экологических и коррупционных последствий.
Более подробно с документом можно ознакомиться по ссылке.

Комментарии
Пока нет комментариев
Будьте первым, кто оставит комментарий!
Чтобы оставить комментарий, необходимо авторизоваться.