Финансы

Казахстан реформирует правила безопасности для страховых компаний

16.05.2024

документы — Данные меры будут полезны для защиты конфиденциальных данных пользователей

Целью изменений является уточнения по типу предоставляемой информации и установлению требований к страховым организациям.

Что произошло

В Казахстане для защиты от несанкционированного доступа к данным страховой органции предложили внести изменения в постановление Национального Банка РК о требованиях к организациям безопасной работы.

Целью изменений является уточнения по типу предоставляемой информации и установлению требований к страховым организациям по установлению требований по безопасности оказания дистанционных услуг

Детали

14 мая на сайте Открытые НПА на публичное обсуждение был вынесен вопрос об изменениях в постановлении правления Нацбанка РК от 30 июля 2018 года № 164 "Об утверждении Требований к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации".

Для чего

Целью этого является внесение уточнений по типу предоставляемой информации, требования для повышения оперативности обмена информацией за счёт автоматизации процесса, а также установление дополнительных требований к страховым организациям по безопасности оказания дистанционных услуг.

Предлагается внести изменения в Пункт 52 о составлении информации в уполномоченный орган в электронном формате. Информация должна предоставляться не в произвольной форме, а посредством автоматизированной системы обработки информации о событиях и инцидентах информационной безопасности и интегрированной с системами страховой организации, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре.

Что хотят изменить

Главным новшеством является добавление Главы 3, где будут расписаны требования к обеспечению информационной безопасности программного обеспечения дистанционного оказания услуг организации:

Так, программное обеспечение дистанционного оказания услуг страховой (перестраховочной) организации включает программное обеспечение серверов веб-приложений, для мобильных устройств, серверов программных интерфейсов.
Разработка программного обеспечения дистанционного оказания услуг осуществляется организацией в соответствии с внутренними документами, регламентирующими порядок разработки.
Если разработка программного обеспечения передана третьему лицу, страховая организации обеспечивает исполнение третьим лицом требований настоящей главы и внутренних документов. При разработке программного обеспечения обязательным является тестирование основных функций системы (регистрация пользователей, обмен сообщениями) и проверка безопасности системы для защиты от угроз (взлом и утечка данных). Хранение исходных кодов программного обеспечения осуществляется в специализированных системах управления, размещаемых в периметре защиты страховой, и обеспечивается резервное копирование.
Страховая организация обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом. При этом критичные уязвимости устраняются до ввода в эксплуатацию программного обеспечения после согласования с ответственным лицом по информационной безопасности.
Страховая организация обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения, которые были введены в эксплуатацию в течение последних 3 лет. Обмен данными между клиентской и серверной сторонами шифруется с использованием версии протокола шифрования Transport Layer Security не ниже 1.2.
При первичной регистрации клиента в мобильном приложении организация осуществляет биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (ЦОИД). Изменение кода доступа к мобильному приложению осуществляется с применением биометрических данных клиента, подтверждённых ЦОИД.
Идентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации. Аутентификация программного обеспечения услуг согласовывается с подразделением по информационной безопасности.
Веб-приложение обеспечивает однозначность идентификации принадлежности веб-приложения страховой организации (доменное имя, логотипы, корпоративные цвета), запрещает сохранение в памяти браузера авторизационных данных, маскирует вводимые секреты, информирует на странице авторизации клиента о мерах, которым рекомендуется следовать при использовании веб-приложения, обрабатывает ошибки, не допуская отображение в интерфейсе клиента конфиденциальных данных и предоставляя минимально информацию об ошибке.
Мобильное приложение обеспечивает однозначность идентификации принадлежности приложения страховой организации, блокировку функционала по оказанию дистанционных услуг в случае обнаружения признаков нарушения целостности защитных механизмов операционной системы, уведомление клиента о наличии обновлений приложения, возможность обновить приложения или блокировать его функционал в случаях необходимости устранения критичных уязвимостей, хранение данных в защищенном контейнере приложения, исключение кэширования данных, исключение из резервных копий данных в открытом виде, информирование клиента о методах безопасного использования приложения, информирование клиента о событиях авторизации под его учетной записью, передачу в ходе осуществления операций с денежными средствами в серверное ППО организации геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.
Страховая организация обеспечивает на своей стороне обработку ошибок, не допуская в ответе раскрытия конфиденциальных данных, идентификацию и аутентификацию мобильных приложений и связанных с ними устройств, проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.