НБУ посилює вимоги до інформаційної безпеки та кіберзахисту в банках України
05.10.2017 710 0 0
Правління Національного банку України 28 вересня 2017 року прийняло постанову № 95, якою затвердило Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України (далі – постанова № 95).
Постановою № 95 вперше передбачається регулювання Національним банком питань безпеки інформації та кіберзахисту банківської системи України шляхом визначення обов’язкових вимог щодо організації заходів інформаційної безпеки, які поетапно мають впроваджуватися банками:
1-й етап (основний – впровадження базових заходів інформаційної безпеки) – до 01 березня 2018 року,
2-й етап (впровадження додаткових заходів – для підвищення рівня зрілості інформаційної безпеки) – до 01 вересня 2019 року.
Зокрема вказані заходи безпеки інформації включають в себе:
- захист від зловмисного коду,
- заходи безпеки при використанні електронної пошти,
- контроль доступу до інформаційних систем банку,
- заходи безпеки в мережі банку,
- криптографічний захист інформації тощо.
Також постановою № 95 визначається поняття критичних бізнес-процесів банку з точки зору інформаційної безпеки та сфера застосування банками системи управління інформаційною безпекою (СУІБ).
Крім того, відповідно до провідного світового досвіду з питань інформаційної безпеки, документ передбачає призначення в банках відповідальної особи за інформаційну безпеку (Chief Information Security Officer, CISO) та наділення її повноваженнями, достатніми для прийняття управлінських рішень. Також банки повинні сформувати окремі підрозділи з інформаційної безпеки виключно зі штатних працівників банку, які безпосередньо підпорядковуються CISO.
Імплементація норм постанови № 95 дасть можливість:
- посилити вимоги до захисту інформації в інформаційних системах банків з урахуванням актуальних кіберзагроз;
- визначити принципи управління інформаційною безпекою в банках;
- визначити принципи криптографічного захисту інформаційних систем Національного банку України;
- установити обов’язкові мінімальні вимоги щодо організації заходів із забезпечення безпеки інформації;
- установити вимоги до інформаційних систем банків, що взаємодіють з інформаційними системами Національного банку України.
Документ прийнято з метоюф удосконалення вимог до захисту інформації в інформаційних системах банків з урахуванням актуальних кіберзагроз. Його норми відповідають принципам права Європейського Союзу та зобов’язанням України у сфері європейської інтеграції.
Постанова № 95 визначає принципи забезпечення та управління інформаційною безпекою, які базуються на нових, уведених в дію з 01 січня 2017 року, національних стандартах України з питань інформаційної безпеки[1], та принципах забезпечення інформаційної безпеки і кіберзахисту, що притаманні міжнародній практиці.
Постанова № 95 набирає чинності з 01 березня 2018 року, крім розділу V "Додаткові заходи безпеки інформації", вимоги якого наберуть чинності з 01 вересня 2019 року.
[1] ДСТУ ISO/IEC 27001:2015 "Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги", ДСТУ ISO/IEC 27002:2015 "Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки"
Джерело: https://bank.gov.ua/control/uk/publis...
Коментарі до матеріалу