НБУ ужесточает требования к информационной безопасности и киберзащите в банках Украины

Правление Национального банка Украины 28 сентября 2017 г. приняло постановление № 95, которым утвердило Положение об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины (далее - постановление № 95).

Постановлением № 95 впервые предусматривается регулирование Национальным банком по безопасности информации и киберзащиты банковской системы Украины путем определения обязательных требований по организации мероприятий информационной безопасности, поэтапно должны внедряться банками:

1-й этап (основной - внедрение базовых мер информационной безопасности) - до 1 марта 2018,

2-й этап (внедрение дополнительных мер - для повышения уровня зрелости информационной безопасности) - до 1 сентября 2019.

В частности указанные меры безопасности информации включают в себя:

- защита от вредоносных кода,

- меры безопасности при использовании электронной почты,

- контроль доступа к информационным системам банка,

- меры безопасности в сети банка,

- криптографическая защита информации и тому подобное.

Также постановлением № 95 определяется понятие критических бизнес-процессов банка с точки зрения информационной безопасности и сфера применения банками системы управления информационной безопасностью (СУИБ).

Кроме того, согласно ведущего мирового опыта по вопросам информационной безопасности, документ предусматривает назначение в банках ответственного лица за информационную безопасность (Chief Information Security Officer, CISO) и наделение ее полномочиями, достаточными для принятия управленческих решений. Также банки должны сформировать отдельные подразделения по информационной безопасности исключительно из штатных работников банка, которые непосредственно подчиняются CISO.

Имплементация норм постановления № 95 позволит:

- усилить требования к защите информации в информационных системах банков с учетом актуальных киберугроз;

- определить принципы управления информационной безопасностью в банках;

- определить принципы криптографической защиты информационных систем Национального банка Украины;

- установить обязательные минимальные требования к организации мероприятий по обеспечению безопасности информации;

- установить требования к информационным системам банков, взаимодействующих с информационными системами Национального банка Украины.

Документ принят с метоюф совершенствования требований к защите информации в информационных системах банков с учетом актуальных киберугроз. Его нормы соответствуют принципам права Европейского Союза и обязательствам Украины в сфере европейской интеграции.

Постановление № 95 определяет принципы обеспечения и управления информационной безопасностью, основанные на новых, введенных в действие с 01 января 2017 года, национальных стандартах Украины по вопросам информационной безопасности [1], и принципах обеспечения информационной безопасности и киберзащиты, присущие международной практике.

Постановление № 95 вступает в силу с 01 марта 2018 года, кроме раздела V "Дополнительные меры безопасности информации", требования которого вступят в силу с 1 сентября 2019.

 [1] ISO/IEC 27001: 2015 "Информационные технологии. Методы защиты. Системы управления информационной безопасностью. Требования", ISO/IEC 27002: 2015 "Информационные технологии. Методы защиты. Свод практик по мерам информационной безопасности"

Источник: https://bank.gov.ua/control/uk/publis...