АРРФР разработало новый проект правил для защиты информации на электронной торговой площадке, где продаются активы банков и микрофинансовых организаций. Среди требований к участникам торгов — использование электронной подписи и биометрической идентификации, передает Bizmedia.kz.
Правила обеспечения информационной безопасности электронной торговой площадки разработаны в соответствии с законами Республики Казахстан и определяют порядок обеспечения безопасности информации оператором площадки. Основные меры включают:
В главе 2 рассмотрены меры обеспечения информационной безопасности электронной торговой площадки. Оператор отвечает за организацию доступа, защиту информации, резервирование данных, восстановление системы после сбоев и шифрование передаваемой информации. Доступ к площадке регулируется через идентификацию и аутентификацию, учетные записи персонализированы, а управление учетными записями осуществляется согласно внутренним документам оператора.
Для работы на платформе необходимо использовать цифровые подписи или биометрические данные для идентификации и аутентификации.
Оператор регулярно должен выполнять резервное копирование данных и настроек, чтобы обеспечить их быстрое восстановление в случае необходимости. Частота и процесс выполнения резервного копирования и восстановления регулируются внутренними документами оператора.
Аудиторский след ведется не менее 3 месяцев в оперативном и 5 лет в архивном доступе.
Программное обеспечение системы состоит из веб-приложений, мобильных приложений и серверных интерфейсов. Разработка и доработка ПО регулируются внутренними документами оператора. При передаче разработки сторонней организации, условия по безопасности и конфиденциальности фиксируются в договоре.
Исходные коды хранятся в специализированных системах с резервным копированием. Обязательное тестирование информационной безопасности включает статический анализ кода и анализ сторонних компонентов.
Для обеспечения безопасности программного обеспечения электронной торговой площадки используется статический анализ исходного кода и анализ сторонних библиотек для выявления уязвимостей. Оператор должен хранить и обеспечивать доступ к версиям исходного кода и результатам тестирования за последние три года. Обмен данными между клиентом и сервером шифруется по протоколу TLS не ниже версии 1.2.
Веб-приложение должно:
- Обеспечивать идентификацию принадлежности оператору;
- Запрещать сохранение авторизационных данных в браузере;
- Маскировать вводимые секреты;
- Информировать о мерах кибербезопасности;
- Обрабатывать ошибки безопасным способом.
Мобильное приложение должно:
- Обеспечивать идентификацию принадлежности оператору;
- Блокировать функционал при нарушении целостности или обнаружении процессов удаленного управления;
- Уведомлять участника об обновлениях мобильного приложения;
- Принудительно устанавливать обновления или блокировать функционал для устранения критических уязвимостей;
- Хранить конфиденциальные данные в защищенном контейнере;
- Обмениваться данными только с авторизованным серверным ПО;
- Исключать кэширование конфиденциальных данных;
- Исключать конфиденциальные данные из резервных копий;
- Информировать участника о методах кибербезопасности;
- Уведомлять клиента о событиях авторизации, изменениях пароля и номера телефона;
- Передавать геолокационные данные при разрешении клиента или информацию об отсутствии такого разрешения;
- Контролировать скорость приема запросов серверным ПО, безопасно обрабатывать ошибки, идентифицировать и аутентифицировать приложения и проверять данные на валидность.