Безопасность функционирования мобильных приложений банков РК теперь будет регулироваться. Это следует из новых требований регулятора этой сферы - то есть Агентства по регулированию и развитию финансового рынка (АРРФР).
В рамках соблюдения как информационной, так и кибербезопасности АРРФР установило требования к защите информации в информационных системах, на интернет-ресурсах и в мобильных приложениях финансовых организаций, которые не позволяют мошенникам снять деньги или оформить кредит на клиента без непосредственного участия такового.
Поэтому с целью повышения безопасности дистанционных финансовых услуг в октябре 2023 года были разработаны и утверждены поправки в НПА по усилению требований к банкам и МФО, оказывающим такие услуги.
Теперь любые банки и МФО Казахстана для своих мобильных приложений и сайтов должны осуществить ряд процедур, повышающих их безопасность. Так, до ввода в эксплуатацию программного обеспечения потребуется проведение анализа безопасности его исходного кода и устранение выявленных недостатков. Для критически важных операций, связанных с осуществлением переводов и платежей, будет введена обязательная биометрическая идентификация клиента.
Кроме того, мобильные приложения будут блокировать оказание дистанционных услуг, в случае обнаружения признаков нарушения защитных механизмов операционной системы или обнаружения удаленного управления устройством клиента.
Также усилят и требования к обратной связи мобильного приложения с клиентом - иначе говоря, потребуется дополнительное информирование клиента по критичным действиям.
В настоящее время отсутствует достаточный механизм воздействия на финансовые организации в случае несоблюдения требований по кибербезопасности. В этой связи разработан проект внесения поправок в Кодекс об административных правонарушениях РК, предусматривающий штрафные санкции в сфере информационной безопасности по 14 пунктам. Данный проект сейчас уже на этапе согласования в госорганах Казахстана.
Применение административных мер позволит повысить качество соблюдения законодательных требований в части информационной безопасности и обеспечения кибербезопасности физических и юридических лиц при использовании банковских услуг.
#Казахстан #кибербезопасность #банки #АРРФР #мобильные_приложения
В рамках соблюдения как информационной, так и кибербезопасности АРРФР установило требования к защите информации в информационных системах, на интернет-ресурсах и в мобильных приложениях финансовых организаций, которые не позволяют мошенникам снять деньги или оформить кредит на клиента без непосредственного участия такового.
Поэтому с целью повышения безопасности дистанционных финансовых услуг в октябре 2023 года были разработаны и утверждены поправки в НПА по усилению требований к банкам и МФО, оказывающим такие услуги.
Теперь любые банки и МФО Казахстана для своих мобильных приложений и сайтов должны осуществить ряд процедур, повышающих их безопасность. Так, до ввода в эксплуатацию программного обеспечения потребуется проведение анализа безопасности его исходного кода и устранение выявленных недостатков. Для критически важных операций, связанных с осуществлением переводов и платежей, будет введена обязательная биометрическая идентификация клиента.
Кроме того, мобильные приложения будут блокировать оказание дистанционных услуг, в случае обнаружения признаков нарушения защитных механизмов операционной системы или обнаружения удаленного управления устройством клиента.
Также усилят и требования к обратной связи мобильного приложения с клиентом - иначе говоря, потребуется дополнительное информирование клиента по критичным действиям.
В настоящее время отсутствует достаточный механизм воздействия на финансовые организации в случае несоблюдения требований по кибербезопасности. В этой связи разработан проект внесения поправок в Кодекс об административных правонарушениях РК, предусматривающий штрафные санкции в сфере информационной безопасности по 14 пунктам. Данный проект сейчас уже на этапе согласования в госорганах Казахстана.
Применение административных мер позволит повысить качество соблюдения законодательных требований в части информационной безопасности и обеспечения кибербезопасности физических и юридических лиц при использовании банковских услуг.
#Казахстан #кибербезопасность #банки #АРРФР #мобильные_приложения
Положения закона о кибербезопасности цифровых продуктов (Cyber Resilience Act, CRA) были согласованы Европарламентом и Советом Евросоюза
Документ предусматривает ввод обязательных требований по кибербезопасности для всех продуктов и программного обеспечения на рынке ЕС. К продуктам с разной степенью риска в области кибербезопасности будут предъявляться различные требования (то есть, чем опаснее потенциальные риски, тем эти требования будут выше).
✓ Одним из ключевых требований, включенных в CRA, является требование как к производителям программного обеспечения, так и продуктов «интернета вещей» (Internet of Things) (например, биометрических считывателей, "умных" домашних помощников и камер частной безопасности) сообщать об инцидентах кибератак и обнаруженных уязвимостях и неисправностях продуктов.
✓ Производители должны будут проводить предварительную оценку рисков и сообщать, какие требования безопасности могут применяться к создаваемому ими продукту.
✓ Поддержка безопасности должна будет обеспечиваться в течение не менее 5 лет (если продукт не имеет более короткий ожидаемый срок эксплуатации).
✓ Любое обновление системы безопасности, происходящее в течение жизненного цикла продукта, должно оставаться доступным пользователям в течение 10 лет или оставшегося периода поддержки (в зависимости от того, какой срок больше).
✓ Меры обеспечения безопасности «критически важных» продуктов потребуют проведения аудита безопасности сертифицированной организацией. Окончательный список «критически важных» продуктов еще не опубликован, однако он, скорее всего, будет включать как программное обеспечение (например, антивирусы или VPN-сервисы), так и hardware-устройства.
Закон будет применяться ко всем товарам, которые прямо или косвенно подключены к какому-либо другому устройству или сети передачи данных.
На сегодня к части продуктов на рынке Европы — автомобилям, медицинскому оборудованию и продукции аэрокосмической отрасли — уже применяются подобные требования. Закон призван заполнить пробелы и сделать законы в области кибербезопасности более взаимосвязанными.
CRA вступит в силу на 20-й день после его публикации в официальном журнале ЕС.
У организаций, на которые распространяется действие CRA, будет 36 месяцев, чтобы привести системы безопасности выпускаемых ими продуктов в соответствие новым требованиям.
Также установлен и более ограниченный 21-месячный срок, по истечении которого у производителей возникнет обязательством сообщать об киберинцидентах и обнаруженных уязвимостях.
#ЕС #Евросоюз #кибербезопасность #новости_oт_DRCQ
Документ предусматривает ввод обязательных требований по кибербезопасности для всех продуктов и программного обеспечения на рынке ЕС. К продуктам с разной степенью риска в области кибербезопасности будут предъявляться различные требования (то есть, чем опаснее потенциальные риски, тем эти требования будут выше).
✓ Одним из ключевых требований, включенных в CRA, является требование как к производителям программного обеспечения, так и продуктов «интернета вещей» (Internet of Things) (например, биометрических считывателей, "умных" домашних помощников и камер частной безопасности) сообщать об инцидентах кибератак и обнаруженных уязвимостях и неисправностях продуктов.
✓ Производители должны будут проводить предварительную оценку рисков и сообщать, какие требования безопасности могут применяться к создаваемому ими продукту.
✓ Поддержка безопасности должна будет обеспечиваться в течение не менее 5 лет (если продукт не имеет более короткий ожидаемый срок эксплуатации).
✓ Любое обновление системы безопасности, происходящее в течение жизненного цикла продукта, должно оставаться доступным пользователям в течение 10 лет или оставшегося периода поддержки (в зависимости от того, какой срок больше).
✓ Меры обеспечения безопасности «критически важных» продуктов потребуют проведения аудита безопасности сертифицированной организацией. Окончательный список «критически важных» продуктов еще не опубликован, однако он, скорее всего, будет включать как программное обеспечение (например, антивирусы или VPN-сервисы), так и hardware-устройства.
Закон будет применяться ко всем товарам, которые прямо или косвенно подключены к какому-либо другому устройству или сети передачи данных.
На сегодня к части продуктов на рынке Европы — автомобилям, медицинскому оборудованию и продукции аэрокосмической отрасли — уже применяются подобные требования. Закон призван заполнить пробелы и сделать законы в области кибербезопасности более взаимосвязанными.
CRA вступит в силу на 20-й день после его публикации в официальном журнале ЕС.
У организаций, на которые распространяется действие CRA, будет 36 месяцев, чтобы привести системы безопасности выпускаемых ими продуктов в соответствие новым требованиям.
Также установлен и более ограниченный 21-месячный срок, по истечении которого у производителей возникнет обязательством сообщать об киберинцидентах и обнаруженных уязвимостях.
#ЕС #Евросоюз #кибербезопасность #новости_oт_DRCQ
17 ноября 2023 года АО «Государственная техническая служба» Республики Казахстан и Служба электронной безопасности Министерства цифрового развития и транспорта Республики Азербайджан подписали меморандум о взаимопонимании в области информационной и кибербезопасности.
Развитие международного сотрудничества осуществляется между казахстанской Национальной службой реагирования на компьютерные инциденты (KZ-CERT) и Службой электронной безопасности Республики Азербайджан (CERT.AZ).
Меморандум создает фундамент для обмена передовыми практиками, опытом и информацией о текущих киберугрозах, что послужит значительным укреплением информационной безопасности в обеих странах.
Благодаря развитию сотрудничества консолидируются взаимные усилия, а также технические и человеческие ресурсы в случаях выявления и устранения последствий компьютерных атак.
Подписанный документ подтверждает стремление обеих республик - как Казахстана, так и Азербайджана - к укреплению статуса как надежных партнеров в сфере кибербезопасности.
Глава CERT.AZ Самир Расулов, выступая на церемонии подписания меморандума, подчеркнул важность использования передовых методов борьбы с существующими киберугрозами. Он подчеркнул, что взаимный обмен опытом и информацией окажет глубокое и конструктивное влияние на укрепление системы информационной безопасности обеих стран.
Параллельно с подписанием меморандума делегация Азербайджана приняла участие во встречах с представителями KZ-CERT и ведущих фирм, работающих в секторе информационной безопасности Казахстана. Они обеспечили благодатную почву для взаимного обмена идеями и опытом в области информационной безопасности.
#Казахстан #Азербайджан #партнерство #меморандум #кибербезопасность #новости_oт_DRCQ
Развитие международного сотрудничества осуществляется между казахстанской Национальной службой реагирования на компьютерные инциденты (KZ-CERT) и Службой электронной безопасности Республики Азербайджан (CERT.AZ).
Меморандум создает фундамент для обмена передовыми практиками, опытом и информацией о текущих киберугрозах, что послужит значительным укреплением информационной безопасности в обеих странах.
Благодаря развитию сотрудничества консолидируются взаимные усилия, а также технические и человеческие ресурсы в случаях выявления и устранения последствий компьютерных атак.
Подписанный документ подтверждает стремление обеих республик - как Казахстана, так и Азербайджана - к укреплению статуса как надежных партнеров в сфере кибербезопасности.
Глава CERT.AZ Самир Расулов, выступая на церемонии подписания меморандума, подчеркнул важность использования передовых методов борьбы с существующими киберугрозами. Он подчеркнул, что взаимный обмен опытом и информацией окажет глубокое и конструктивное влияние на укрепление системы информационной безопасности обеих стран.
Параллельно с подписанием меморандума делегация Азербайджана приняла участие во встречах с представителями KZ-CERT и ведущих фирм, работающих в секторе информационной безопасности Казахстана. Они обеспечили благодатную почву для взаимного обмена идеями и опытом в области информационной безопасности.
#Казахстан #Азербайджан #партнерство #меморандум #кибербезопасность #новости_oт_DRCQ
В начале января на брифинге в Минцифры прокомментировали ситуацию с утечками телефонных номеров казахстанцев, а также раскрыли общую статистику по нарушениям законодательства о персональных данных за прошлый год.
В целом, в 2023 году за нарушение законодательства о персональных данных и их защите было рассмотрено более 30 административных дел, наложено штрафов на физических, юридических и должностных лиц на общую сумму 1,2 млн тенге.
При этом в ведомстве отметили, что дела об административных правонарушениях по незаконному сбору и обработке персональных данных возбуждаются исключительно по заявлению потерпевшего.
Согласно действующим в Казахстане законам, обработка персональных данных осуществляются только с согласия субъекта или его законного представителя, если иное не предусмотрено законами РК. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных. Касается это, само собой, и всяческих баз номеров абонентских устройств.
От 2 тыс. тенге и выше — за такую стоимость можно купить базы личных телефонных номеров казахстанцев. Цены варьируются в зависимости от количества контактов.
Базу можно выбрать не только по городу или району, но также по возрасту и полу. Номера покупают для массовых рассылок, звонков с предложениями, а также для шантажа.
Также в Минцифры дали ряд общих рекомендаций по кибербезопасности:
❗️Используйте сложные пароли и не используйте один и тот же пароль для разных аккаунтов. Это поможет предотвратить несанкционированный доступ к вашей личной информации.
❗️Обновляйте программное обеспечение на своих устройствах, так как новые версии часто содержат исправления уязвимостей. Это защитит вас от возможных атак хакеров.
❗️Не отвечайте на подозрительные сообщения и не открывайте ссылки от незнакомых отправителей. Это может привести к установке вредоносных программ на ваше устройство.
❗️Используйте антивирусное программное обеспечение для защиты от вирусов и других угроз. Это поможет обезопасить ваше устройство от вредоносных программ.
❗️Не доверяйте свою личную информацию незнакомым сайтам и приложениям. Проверяйте репутацию сайтов и приложений перед тем, как предоставлять свою личную информацию.
❗️Используйте двухфакторную аутентификацию для защиты своих аккаунтов. Это поможет предотвратить несанкционированный доступ к вашим аккаунтам.
❗️Проверяйте настройки конфиденциальности на своих социальных сетях и других онлайн-сервисах. Это поможет убедиться, что ваша личная информация доступна только тем, кому вы ее предоставляете.
#Минцифры #Казахстан #утечки #персональные_данные #телефонные_номера #кибербезопасность #штраф #новости_oт_DRCQ
В целом, в 2023 году за нарушение законодательства о персональных данных и их защите было рассмотрено более 30 административных дел, наложено штрафов на физических, юридических и должностных лиц на общую сумму 1,2 млн тенге.
При этом в ведомстве отметили, что дела об административных правонарушениях по незаконному сбору и обработке персональных данных возбуждаются исключительно по заявлению потерпевшего.
Согласно действующим в Казахстане законам, обработка персональных данных осуществляются только с согласия субъекта или его законного представителя, если иное не предусмотрено законами РК. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных. Касается это, само собой, и всяческих баз номеров абонентских устройств.
От 2 тыс. тенге и выше — за такую стоимость можно купить базы личных телефонных номеров казахстанцев. Цены варьируются в зависимости от количества контактов.
Базу можно выбрать не только по городу или району, но также по возрасту и полу. Номера покупают для массовых рассылок, звонков с предложениями, а также для шантажа.
Также в Минцифры дали ряд общих рекомендаций по кибербезопасности:
❗️Используйте сложные пароли и не используйте один и тот же пароль для разных аккаунтов. Это поможет предотвратить несанкционированный доступ к вашей личной информации.
❗️Обновляйте программное обеспечение на своих устройствах, так как новые версии часто содержат исправления уязвимостей. Это защитит вас от возможных атак хакеров.
❗️Не отвечайте на подозрительные сообщения и не открывайте ссылки от незнакомых отправителей. Это может привести к установке вредоносных программ на ваше устройство.
❗️Используйте антивирусное программное обеспечение для защиты от вирусов и других угроз. Это поможет обезопасить ваше устройство от вредоносных программ.
❗️Не доверяйте свою личную информацию незнакомым сайтам и приложениям. Проверяйте репутацию сайтов и приложений перед тем, как предоставлять свою личную информацию.
❗️Используйте двухфакторную аутентификацию для защиты своих аккаунтов. Это поможет предотвратить несанкционированный доступ к вашим аккаунтам.
❗️Проверяйте настройки конфиденциальности на своих социальных сетях и других онлайн-сервисах. Это поможет убедиться, что ваша личная информация доступна только тем, кому вы ее предоставляете.
#Минцифры #Казахстан #утечки #персональные_данные #телефонные_номера #кибербезопасность #штраф #новости_oт_DRCQ
Каждый день жители Казахстана получают около 600 тысяч запросов через Сервис контроля доступа к персональным данным (КДП), а в периоды пикового спроса этот показатель достигает миллиона.
Такие цифры привели на брифинге в Комитете информационной безопасности Министерства цифрового развития РК.
Система КДП предоставляет гражданам возможность контролировать доступ к их персональным данным.
К сервису подключены 138 информационных систем, из которых 59 принадлежат частным компаниям.
В сфере безопасности казахстанского сегмента Интернета используются различные инструменты, включая сервис WebTotem, который для выявления уязвимостей и багов регулярно сканирует более 188 тысяч казахстанских доменов.
Благодаря платформе BugBounty выявлено более 2400 уязвимостей, способствующих укреплению кибербезопасности в стране.
Напомним, что в июне 2024 года был актуализирован перечень критически важных объектов информационно-коммуникационной инфраструктуры, в него включены 572 объекта.
Также с начала 2024 года на сегодняшний день проведено 11 внеплановых проверок и возбуждено и рассмотрено 23 административных дел по нарушению требований закона в сфере персональных данных.
#кибербезопасность #МЦРИАП #КИБ #персональные_данные #Казахстан #КДП #новости_от_DRCQ
Такие цифры привели на брифинге в Комитете информационной безопасности Министерства цифрового развития РК.
Система КДП предоставляет гражданам возможность контролировать доступ к их персональным данным.
К сервису подключены 138 информационных систем, из которых 59 принадлежат частным компаниям.
В сфере безопасности казахстанского сегмента Интернета используются различные инструменты, включая сервис WebTotem, который для выявления уязвимостей и багов регулярно сканирует более 188 тысяч казахстанских доменов.
Благодаря платформе BugBounty выявлено более 2400 уязвимостей, способствующих укреплению кибербезопасности в стране.
Напомним, что в июне 2024 года был актуализирован перечень критически важных объектов информационно-коммуникационной инфраструктуры, в него включены 572 объекта.
Также с начала 2024 года на сегодняшний день проведено 11 внеплановых проверок и возбуждено и рассмотрено 23 административных дел по нарушению требований закона в сфере персональных данных.
#кибербезопасность #МЦРИАП #КИБ #персональные_данные #Казахстан #КДП #новости_от_DRCQ
Министерство цифрового развития опубликовало проект приказа об утверждении профессионального стандарта, который выносится на общественное обсуждение. Документ размещен на портале "Открытые НПА" для публичного обсуждения вплоть до 20 декабря 2024 года.
Стандарт необходим для того, чтобы установить единые требования как к уже действующим специалистам, так и к обучению в этой области.
В ведомстве объяснили, что этот профессиональный стандарт, наряду с национальными и отраслевыми квалификационными рамками, является частью новой Национальной системы квалификаций, которая формируется в Казахстане. Эта система призвана устранить дисбаланс между спросом и предложением на рынке труда в сфере информационной безопасности.
Этот профессиональный стандарт предназначен для специалистов в области информационной безопасности. Он поможет обеспечить безопасность информации в компьютерных системах и сетях, когда существует угроза их информационной безопасности.
Профессиональный стандарт содержит описание карточки профессий в области информационной безопасности:
✅ администратор по информационной безопасности;
✅аудитор по информационной безопасности;
✅инженер по защите информации;
✅специалист по безопасности сервисов;
✅специалист по вопросам безопасности (ИКТ);
✅специалист по защите информации;
✅специалист по информационной безопасности;
✅специалист-криминалист по цифровым технологиям;
✅шифровальщик данных.
Также описаны основные функции проектирования, монтажа, эксплуатации, технической поддержки и наладки систем обеспечения информационной безопасности.
#новости_от_DRCQ #кибербезопасность #Минцифры #Казахстан #профстандарт #проекты
Стандарт необходим для того, чтобы установить единые требования как к уже действующим специалистам, так и к обучению в этой области.
В ведомстве объяснили, что этот профессиональный стандарт, наряду с национальными и отраслевыми квалификационными рамками, является частью новой Национальной системы квалификаций, которая формируется в Казахстане. Эта система призвана устранить дисбаланс между спросом и предложением на рынке труда в сфере информационной безопасности.
Этот профессиональный стандарт предназначен для специалистов в области информационной безопасности. Он поможет обеспечить безопасность информации в компьютерных системах и сетях, когда существует угроза их информационной безопасности.
Профессиональный стандарт содержит описание карточки профессий в области информационной безопасности:
✅аудитор по информационной безопасности;
✅инженер по защите информации;
✅специалист по безопасности сервисов;
✅специалист по вопросам безопасности (ИКТ);
✅специалист по защите информации;
✅специалист по информационной безопасности;
✅специалист-криминалист по цифровым технологиям;
✅шифровальщик данных.
Также описаны основные функции проектирования, монтажа, эксплуатации, технической поддержки и наладки систем обеспечения информационной безопасности.
#новости_от_DRCQ #кибербезопасность #Минцифры #Казахстан #профстандарт #проекты
Please open Telegram to view this post
VIEW IN TELEGRAM
В Европейском союзе вступил в силу закон о кибербезопасности цифровых устройств (Cyber Resilience Act, CRA), направленный на повышение уровня защиты и безопасности в киберпространстве Европы.
CRA является первым законодательным актом в ЕС, который устанавливает обязательные требования к кибербезопасности для «продуктов с цифровыми элементами».
Документ предусматривает ввод обязательных требований по кибербезопасности для всех продуктов и программного обеспечения на рынке ЕС. К продуктам с разной степенью риска в области кибербезопасности будут предъявляться различные требования (то есть, чем опаснее потенциальные риски, тем эти требования будут выше).
✓ Одним из ключевых требований, включенных в CRA, является требование как к производителям программного обеспечения, так и продуктов «интернета вещей» (Internet of Things) (например, биометрических считывателей, "умных" домашних помощников и камер частной безопасности) сообщать об инцидентах кибератак и обнаруженных уязвимостях и неисправностях продуктов.
✓ Производители должны будут проводить предварительную оценку рисков и сообщать, какие требования безопасности могут применяться к создаваемому ими продукту.
✓ Поддержка безопасности должна будет обеспечиваться в течение не менее 5 лет (если продукт не имеет более короткий ожидаемый срок эксплуатации).
✓ Любое обновление системы безопасности, происходящее в течение жизненного цикла продукта, должно оставаться доступным пользователям в течение 10 лет или оставшегося периода поддержки (в зависимости от того, какой срок больше).
✓ Меры обеспечения безопасности «критически важных» продуктов потребуют проведения аудита безопасности сертифицированной организацией. Окончательный список «критически важных» продуктов еще не опубликован, однако он, скорее всего, будет включать как программное обеспечение (например, антивирусы или VPN-сервисы), так и hardware-устройства.
Закон будет применяться ко всем товарам, которые прямо или косвенно подключены к какому-либо другому устройству или сети передачи данных.
На сегодня к части продуктов на рынке Европы — автомобилям, медицинскому оборудованию и продукции аэрокосмической отрасли — уже применяются подобные требования. Закон призван заполнить пробелы и сделать законы в области кибербезопасности более взаимосвязанными.
У организаций, на которые распространяется действие CRA, будет 36 месяцев — вплоть до 11 декабря 2027 года — чтобы привести системы безопасности выпускаемых ими продуктов в соответствие новым требованиям.
Также установлен и более ограниченный 21-месячный срок, по истечении которого у производителей возникнет обязательством сообщать об киберинцидентах и обнаруженных уязвимостях.
#новости_от_DRCQ #EC #Евросоюз #законы #CRA #кибербезопасность
CRA является первым законодательным актом в ЕС, который устанавливает обязательные требования к кибербезопасности для «продуктов с цифровыми элементами».
Документ предусматривает ввод обязательных требований по кибербезопасности для всех продуктов и программного обеспечения на рынке ЕС. К продуктам с разной степенью риска в области кибербезопасности будут предъявляться различные требования (то есть, чем опаснее потенциальные риски, тем эти требования будут выше).
✓ Одним из ключевых требований, включенных в CRA, является требование как к производителям программного обеспечения, так и продуктов «интернета вещей» (Internet of Things) (например, биометрических считывателей, "умных" домашних помощников и камер частной безопасности) сообщать об инцидентах кибератак и обнаруженных уязвимостях и неисправностях продуктов.
✓ Производители должны будут проводить предварительную оценку рисков и сообщать, какие требования безопасности могут применяться к создаваемому ими продукту.
✓ Поддержка безопасности должна будет обеспечиваться в течение не менее 5 лет (если продукт не имеет более короткий ожидаемый срок эксплуатации).
✓ Любое обновление системы безопасности, происходящее в течение жизненного цикла продукта, должно оставаться доступным пользователям в течение 10 лет или оставшегося периода поддержки (в зависимости от того, какой срок больше).
✓ Меры обеспечения безопасности «критически важных» продуктов потребуют проведения аудита безопасности сертифицированной организацией. Окончательный список «критически важных» продуктов еще не опубликован, однако он, скорее всего, будет включать как программное обеспечение (например, антивирусы или VPN-сервисы), так и hardware-устройства.
Закон будет применяться ко всем товарам, которые прямо или косвенно подключены к какому-либо другому устройству или сети передачи данных.
На сегодня к части продуктов на рынке Европы — автомобилям, медицинскому оборудованию и продукции аэрокосмической отрасли — уже применяются подобные требования. Закон призван заполнить пробелы и сделать законы в области кибербезопасности более взаимосвязанными.
У организаций, на которые распространяется действие CRA, будет 36 месяцев — вплоть до 11 декабря 2027 года — чтобы привести системы безопасности выпускаемых ими продуктов в соответствие новым требованиям.
Также установлен и более ограниченный 21-месячный срок, по истечении которого у производителей возникнет обязательством сообщать об киберинцидентах и обнаруженных уязвимостях.
#новости_от_DRCQ #EC #Евросоюз #законы #CRA #кибербезопасность
Издание Bluescreen взяло интервью у председателя Комитета по информационной безопасности (КИБ) МЦРИАП Руслана Абдикаликова.
В центре внимания — ключевые вызовы 2024 года, проблемы с утечками данных и будущее кибербезопасности. Приводим основные моменты беседы, раскрывающие планы и инициативы ведомства.
🔻В начале года Казахстан столкнулся с одной из крупнейших утечек персональных данных, что могло спровоцировать рост мошенничества и выявило слабые места в системе защиты информации.
👉 В ответ государство продолжило развивать отраслевые центры информационной безопасности в финансовом секторе и планирует расширить их на сферы здравоохранения, образования и транспорта.
Одним из важнейших инструментов защиты данных стал государственный сервис контроля доступа (КДП), который позволяет гражданам управлять своими согласиями на передачу персональных данных.
Сервис отправляет уведомления через СМС или портал eGov, давая возможность подтвердить или отклонить запрос. Уже сейчас система помогает ограничить несанкционированный доступ к чувствительным данным.
☑️ В 2024 году Комитет сосредоточил внимание на уточнении определения персональных данных и предложил разделение данных на цифровые идентификаторы (ИИН, номер телефона) и полные персональные данные (ФИО).
Этот подход позволит компаниям безопасно обрабатывать цифровые идентификаторы без риска для конфиденциальности граждан, а доступ к ФИО будет строго контролироваться через государственные базы.
🔻 Особое внимание уделяется ужесточению наказаний за утечки данных. В Мажилисе рассматривается законопроект о повышении штрафов, включая оборотные штрафы, которые будут зависеть от годового дохода компании.
Руслан Абдикаликов подчеркнул, что наказания должны быть ощутимыми для бизнеса, чтобы обеспечить реальное соблюдение законодательства.
КИБ также работает над укреплением взаимодействия с гражданами через платформу e-otinish. Количество жалоб на нарушения в сфере защиты данных выросло в 50 раз — с 200 до более чем 10 тысяч за год.
🔸 По словам Абдикаликова, активность граждан — положительный сигнал, который помогает выявлять проблемные зоны и совершенствовать механизмы защиты данных.
Помимо персональных данных, комитет уделяет внимание борьбе с интернет-мошенничеством.
✅ Совместно с мобильными операторами и банками были созданы антифрод-центры, которые блокируют мошеннические звонки и подозрительные финансовые операции.
В планах — запуск единого колл-центра, который позволит оперативно выявлять и предотвращать попытки мошенничества до нанесения ущерба.
Для повышения цифровой грамотности среди населения были запущены образовательные порталы
Граждане смогут самостоятельно проверять, не попали ли их данные в открытый доступ, и получать рекомендации по защите личной информации.
Руслан Абдикаликов отметил, что будущее кибербезопасности в Казахстане связано с саморегулируемой экосистемой, где бизнес, граждане и государственные органы будут совместно работать над устранением угроз.
В перспективе КИБ планирует внедрение института частных инспекторов, которые будут помогать в контроле за соблюдением стандартов безопасности.
👉 При этом глава КИБ подчеркнул, что проблема кибербезопасности не исчезнет полностью: угрозы будут существовать, пока развивается цифровизация.
Задача государства — создать условия, при которых участники рынка сами будут стремиться к строгому соблюдению норм безопасности.
#кибербезопасность #КИБ #МЦРИАП #Казахстан #цифровизация #новости_от_DRCQ #утечки #персональные_данные
В центре внимания — ключевые вызовы 2024 года, проблемы с утечками данных и будущее кибербезопасности. Приводим основные моменты беседы, раскрывающие планы и инициативы ведомства.
🔻В начале года Казахстан столкнулся с одной из крупнейших утечек персональных данных, что могло спровоцировать рост мошенничества и выявило слабые места в системе защиты информации.
👉 В ответ государство продолжило развивать отраслевые центры информационной безопасности в финансовом секторе и планирует расширить их на сферы здравоохранения, образования и транспорта.
Одним из важнейших инструментов защиты данных стал государственный сервис контроля доступа (КДП), который позволяет гражданам управлять своими согласиями на передачу персональных данных.
Сервис отправляет уведомления через СМС или портал eGov, давая возможность подтвердить или отклонить запрос. Уже сейчас система помогает ограничить несанкционированный доступ к чувствительным данным.
☑️ В 2024 году Комитет сосредоточил внимание на уточнении определения персональных данных и предложил разделение данных на цифровые идентификаторы (ИИН, номер телефона) и полные персональные данные (ФИО).
Этот подход позволит компаниям безопасно обрабатывать цифровые идентификаторы без риска для конфиденциальности граждан, а доступ к ФИО будет строго контролироваться через государственные базы.
🔻 Особое внимание уделяется ужесточению наказаний за утечки данных. В Мажилисе рассматривается законопроект о повышении штрафов, включая оборотные штрафы, которые будут зависеть от годового дохода компании.
Руслан Абдикаликов подчеркнул, что наказания должны быть ощутимыми для бизнеса, чтобы обеспечить реальное соблюдение законодательства.
КИБ также работает над укреплением взаимодействия с гражданами через платформу e-otinish. Количество жалоб на нарушения в сфере защиты данных выросло в 50 раз — с 200 до более чем 10 тысяч за год.
🔸 По словам Абдикаликова, активность граждан — положительный сигнал, который помогает выявлять проблемные зоны и совершенствовать механизмы защиты данных.
Помимо персональных данных, комитет уделяет внимание борьбе с интернет-мошенничеством.
✅ Совместно с мобильными операторами и банками были созданы антифрод-центры, которые блокируют мошеннические звонки и подозрительные финансовые операции.
В планах — запуск единого колл-центра, который позволит оперативно выявлять и предотвращать попытки мошенничества до нанесения ущерба.
Для повышения цифровой грамотности среди населения были запущены образовательные порталы
citizensec.kz и nomadguard.kz. Первый ориентирован на повышение осведомлённости о мошеннических схемах, а второй — на создание реестра скомпрометированных данных. Граждане смогут самостоятельно проверять, не попали ли их данные в открытый доступ, и получать рекомендации по защите личной информации.
Руслан Абдикаликов отметил, что будущее кибербезопасности в Казахстане связано с саморегулируемой экосистемой, где бизнес, граждане и государственные органы будут совместно работать над устранением угроз.
В перспективе КИБ планирует внедрение института частных инспекторов, которые будут помогать в контроле за соблюдением стандартов безопасности.
👉 При этом глава КИБ подчеркнул, что проблема кибербезопасности не исчезнет полностью: угрозы будут существовать, пока развивается цифровизация.
Задача государства — создать условия, при которых участники рынка сами будут стремиться к строгому соблюдению норм безопасности.
#кибербезопасность #КИБ #МЦРИАП #Казахстан #цифровизация #новости_от_DRCQ #утечки #персональные_данные