НБУ предлагает ужесточить требования к информационной безопасности и киберзащите в банках Украины

Национальный банк Украины разработал проект постановления Правления Национального банка Украины "Об утверждении Положения об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины" (далее - Проект постановления).

Проектом постановления впервые предусмотрена регулировка Национальным банком по безопасности информации и киберзащиты банковской системы Украины путем определения обязательных требований по организации мероприятий информационной безопасности, поэтапно должны внедряться банками:

1-й этап (основной - внедрение базовых мер информационной безопасности) - до марта 2018 года,

2-й этап (внедрение дополнительных мер - для повышения уровня зрелости информационной безопасности) - до сентября 2019 года.

В частности указанные меры безопасности информации включают в себя:

- защита от вредоносных кода,

- меры безопасности при использовании электронной почты,

- контроль доступа к информационным системам банка,

- меры безопасности в сети банка,

- криптографическая защита информации и тому подобное.

В данном Проекте постановления определены принципы обеспечения и управления информационной безопасностью в банках Украины, основанные на новых (введены в действие с 01 января 2017 года) национальных стандартах Украины по вопросам информационной безопасности (в частности, ДСТУ ISO / IEC 27001: 2015 "Информационные технологии. методы защиты. Системы управления информационной безопасностью. Требования ", ISO / IEC 27002: 2015" Информационные технологии. методы защиты. Свод практик по мерам информационной безопасности ») и общепринятых в международной практике принципов обеспечения инфор йной безопасности и киберзащиты. В частности, определяется понятие критических бизнес-процессов банка с точки зрения информационной безопасности и сфера применения банками системы управления информационной безопасностью (СУИБ).

Кроме того, в соответствии с лучшими мировыми практиками по вопросам информационной безопасности, Проектом постановления предусматривается назначение в банках ответственного лица за информационную безопасность (Chief Information Security Officer, CISO) и наделение ее полномочиями, достаточными для принятия управленческих решений. Также банки должны сформировать отдельные подразделения по информационной безопасности исключительно из штатных работников банка, которые непосредственно подчиняются CISO.

Проект постановления полностью соответствует принципам права Европейского Союза (acquis ЕС) и обязательствам Украины в сфере европейской интеграции, в том числе международно-правовым.

Имплементация норм этого документа позволит:

   ужесточить требования к защите информации в информационных системах банков Украины с учетом актуальных киберугроз;

   установить принципы управления информационной безопасностью в банках;

   определить принципы криптографической защиты информационных систем Национального банка Украины;

установить обязательные минимальные требования к организации мероприятий по обеспечению безопасности информации и порядок поэтапного внедрения этих требований банками.

Проект постановления размещен для общественного обсуждения на странице Официального интернет-представительства Национального банка Украины, поскольку в соответствии с Законом Украины "Об основах государственной регуляторной политики в сфере хозяйственной деятельности" он должен публиковаться с целью получения замечаний и предложений от физических и юридических лиц, их объединений.

Источник: https://bank.gov.ua/