Мы занимаемся информационной безопасностью

Forbes Kazakhstan: "Информбезопасность может обойтись банкам РК в 15 млрд тенге"

Национальный банк Казахстана готовит для банков второго уровня и микрофинансовых организаций новые правила, по которым они будут строить свою информационную безопасность.

Проект «Правила организации системы управления информационной безопасностью в банках второго уровня и организациях, осуществляющих отдельные виды банковских операций» имеется в распоряжении редакции Forbes Kazakhstan.


Forbes


«Целью настоящих Правил является определение общих требований к организации системы управления информационной безопасностью, обеспечению информационной безопасности банка, разработке соответствующих процессов и методологии, безопасности информационных систем и применению программно-аппаратных комплексов, автоматизирующих процесс обеспечения информационной безопасности банка», – говорится в проекте документа.

Независимые эксперты в области информационной безопасности оценили для Forbes Kazakhstan значимость проекта документа для казахстанского банковского рынка. Например, в новых правилах прописано обязательное тестирование систем на проникновение – раз в три года для всей информационной системы банка и раз в год для систем дистанционного банковского обслуживания. «Это позитивный момент, особенно учитывая, что тестирование должно проводиться силами независимых внешних экспертов. Благодаря этим тестам сам банк сможет получить адекватную и объективную оценку работы своих систем и сотрудников, обеспечивающих информационную безопасность, упреждая возможное появление проблем», – говорит технический директор Ak Kamal Security Павел Карабиди.

По его оценке, весьма жёстко теперь регламентируется использование мобильных устройств, которые могут подключаться к информационным системам банка извне. Учитывая, что использование смартфонов и планшетов в данный момент является насущной необходимостью, введение определенных правил по включению их в корпоративную сеть выглядит весьма логично.

«Обойтись штатными средствами обеспечения безопасности, встроенными в распространенные операционные системы, теперь не получится, ведь среди требований имеются: шифрование канала связи, использование двухфакторной аутентификации, возможность дистанционного удаления данных, хранение данных банка только в зашифрованном виде и так далее. Кроме того, если смартфон или планшет, который используется в работе, является личным устройством работника банка, то придется задуматься и о разграничении сред обработки и хранения данных, чтобы личные данные и информационные активы банка не пересекались», – отмечает Карабиди.

Полностью прочесть материал вы можете на сайте forbes.kz.