НБУ ужесточает требования к информационной безопасности и киберзащите в банках Украины
05.10.2017 710 0 0
Правление Национального банка Украины 28 сентября 2017 г. приняло постановление № 95, которым утвердило Положение об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины (далее - постановление № 95).
Постановлением № 95 впервые предусматривается регулирование Национальным банком по безопасности информации и киберзащиты банковской системы Украины путем определения обязательных требований по организации мероприятий информационной безопасности, поэтапно должны внедряться банками:
1-й этап (основной - внедрение базовых мер информационной безопасности) - до 1 марта 2018,
2-й этап (внедрение дополнительных мер - для повышения уровня зрелости информационной безопасности) - до 1 сентября 2019.
В частности указанные меры безопасности информации включают в себя:
- защита от вредоносных кода,
- меры безопасности при использовании электронной почты,
- контроль доступа к информационным системам банка,
- меры безопасности в сети банка,
- криптографическая защита информации и тому подобное.
Также постановлением № 95 определяется понятие критических бизнес-процессов банка с точки зрения информационной безопасности и сфера применения банками системы управления информационной безопасностью (СУИБ).
Кроме того, согласно ведущего мирового опыта по вопросам информационной безопасности, документ предусматривает назначение в банках ответственного лица за информационную безопасность (Chief Information Security Officer, CISO) и наделение ее полномочиями, достаточными для принятия управленческих решений. Также банки должны сформировать отдельные подразделения по информационной безопасности исключительно из штатных работников банка, которые непосредственно подчиняются CISO.
Имплементация норм постановления № 95 позволит:
- усилить требования к защите информации в информационных системах банков с учетом актуальных киберугроз;
- определить принципы управления информационной безопасностью в банках;
- определить принципы криптографической защиты информационных систем Национального банка Украины;
- установить обязательные минимальные требования к организации мероприятий по обеспечению безопасности информации;
- установить требования к информационным системам банков, взаимодействующих с информационными системами Национального банка Украины.
Документ принят с метоюф совершенствования требований к защите информации в информационных системах банков с учетом актуальных киберугроз. Его нормы соответствуют принципам права Европейского Союза и обязательствам Украины в сфере европейской интеграции.
Постановление № 95 определяет принципы обеспечения и управления информационной безопасностью, основанные на новых, введенных в действие с 01 января 2017 года, национальных стандартах Украины по вопросам информационной безопасности [1], и принципах обеспечения информационной безопасности и киберзащиты, присущие международной практике.
Постановление № 95 вступает в силу с 01 марта 2018 года, кроме раздела V "Дополнительные меры безопасности информации", требования которого вступят в силу с 1 сентября 2019.
[1] ISO/IEC 27001: 2015 "Информационные технологии. Методы защиты. Системы управления информационной безопасностью. Требования", ISO/IEC 27002: 2015 "Информационные технологии. Методы защиты. Свод практик по мерам информационной безопасности"
Источник: https://bank.gov.ua/control/uk/publis...
Комментарии к материалу