Национальный банк Казахстана готовит для банков второго уровня и микрофинансовых организаций новые правила, по которым они будут строить свою информационную безопасность.
Проект «Правила организации системы управления информационной безопасностью в банках второго уровня и организациях, осуществляющих отдельные виды банковских операций» имеется в распоряжении редакции Forbes Kazakhstan.
«Целью настоящих Правил является определение общих требований к организации системы управления информационной безопасностью, обеспечению информационной безопасности банка, разработке соответствующих процессов и методологии, безопасности информационных систем и применению программно-аппаратных комплексов, автоматизирующих процесс обеспечения информационной безопасности банка», – говорится в проекте документа.
Независимые эксперты в области информационной безопасности оценили для Forbes Kazakhstan значимость проекта документа для казахстанского банковского рынка. Например, в новых правилах прописано обязательное тестирование систем на проникновение – раз в три года для всей информационной системы банка и раз в год для систем дистанционного банковского обслуживания. «Это позитивный момент, особенно учитывая, что тестирование должно проводиться силами независимых внешних экспертов. Благодаря этим тестам сам банк сможет получить адекватную и объективную оценку работы своих систем и сотрудников, обеспечивающих информационную безопасность, упреждая возможное появление проблем», – говорит технический директор Ak Kamal Security Павел Карабиди.
По его оценке, весьма жёстко теперь регламентируется использование мобильных устройств, которые могут подключаться к информационным системам банка извне. Учитывая, что использование смартфонов и планшетов в данный момент является насущной необходимостью, введение определенных правил по включению их в корпоративную сеть выглядит весьма логично.
«Обойтись штатными средствами обеспечения безопасности, встроенными в распространенные операционные системы, теперь не получится, ведь среди требований имеются: шифрование канала связи, использование двухфакторной аутентификации, возможность дистанционного удаления данных, хранение данных банка только в зашифрованном виде и так далее. Кроме того, если смартфон или планшет, который используется в работе, является личным устройством работника банка, то придется задуматься и о разграничении сред обработки и хранения данных, чтобы личные данные и информационные активы банка не пересекались», – отмечает Карабиди.
Полностью прочесть материал вы можете на сайте forbes.kz.