НБУ пропонує посилити вимоги до інформаційної безпеки та кіберзахисту у банках України

Національний банк України розробив проект постанови Правління Національного банку України “Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України” (далі – Проект постанови).

Проектом постанови вперше передбачено регулювання Національним банком питань безпеки інформації та кіберзахисту банківської системи України шляхом визначення обов’язкових вимог щодо організації заходів  інформаційної безпеки, які поетапно мають впроваджуватися банками:

1-й етап (основний – впровадження базових заходів інформаційної безпеки) – до березня 2018 року,

2-й етап (впровадження додаткових заходів – для підвищення рівня зрілості інформаційної безпеки) – до вересня 2019 року.

Зокрема вказані заходи безпеки інформації включають в себе:

—    захист від зловмисного коду,

—    заходи безпеки при використанні електронної пошти,

—    контроль доступу до інформаційних систем банку,

—    заходи безпеки в мережі банку,

—    криптографічний захист інформації тощо.

У даному Проекті постанови визначені принципи забезпечення та управління інформаційною безпекою в банках України, які базуються на нових (уведені в дію з 01 січня 2017 року) національних стандартах України з питань інформаційної безпеки (зокрема, ДСТУ ISO/IEC 27001:2015 “Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги”,  ДСТУ ISO/IEC 27002:2015 “Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки”) та загальноприйнятих у міжнародній практиці принципів забезпечення інформаційної безпеки і кіберзахисту. Зокрема, визначається поняття  критичних бізнес-процесів банку з точки зору інформаційної безпеки та сфера застосування банками системи управління інформаційною безпекою (СУІБ).

Крім того, відповідно до кращих світових практик з питань інформаційної безпеки, Проектом постанови передбачається призначення в банках відповідальної особи за інформаційну безпеку (Chief Information Security Officer, CISO) та наділення її повноваженнями, достатніми для прийняття управлінських рішень. Також банки повинні сформувати окремі підрозділи з інформаційної безпеки виключно зі штатних працівників банку, які безпосередньо підпорядковуються CISO.

Проект постанови повністю відповідає принципам права Європейського Союзу (acquis ЄС) та зобов’язанням України у сфері європейської інтеграції, у тому числі міжнародно-правовим.

Імплементація норм цього документу дасть можливість:

   посилити  вимоги до захисту інформації в інформаційних системах банків України з урахуванням актуальних кіберзагроз;

   установити принципи управління інформаційною безпекою в банках;

   визначити принципи криптографічного захисту інформаційних систем Національного банку України;

установити обов’язкові мінімальні вимоги щодо організації заходів із забезпечення безпеки інформації та порядок поетапного упровадження цих вимог банками.

Проект постанови розміщено для громадського обговорення на сторінці Офіційного інтернет-представництва Національного банку України, оскільки відповідно до Закону України “Про засади державної регуляторної політики у сфері господарської діяльності” він має оприлюднюватися з метою одержання зауважень і пропозицій від фізичних та юридичних осіб, їх об’єднань.

Джерело: https://bank.gov.ua/