Посилено вимоги до інформаційної безпеки та кіберзахисту в банках
Затверджено Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України (далі – Положення).
Положенням уперше передбачається регулювання Нацбанком питань безпеки інформації та кіберзахисту банківської системи України шляхом визначення обов’язкових вимог щодо організації заходів інформаційної безпеки, які поетапно мають впроваджуватися банками:
• 1-й етап (основний – впровадження базових заходів інформаційної безпеки) – до 1 березня 2018 року;
• 2-й етап (впровадження додаткових заходів – для підвищення рівня зрілості інформаційної безпеки) – до 1 вересня 2019 року.
Зокрема, указані заходи безпеки інформації включають в себе:
• захист від зловмисного коду;
• заходи безпеки при використанні електронної пошти;
• контроль доступу до інформаційних систем банку;
• заходи безпеки в мережі банку;
• криптографічний захист інформації тощо.
Також постановою визначається поняття критичних бізнес-процесів банку з точки зору інформаційної безпеки та сфера застосування банками системи управління інформаційною безпекою.
Крім того, відповідно до провідного світового досвіду з питань інформаційної безпеки, документ передбачає призначення в банках відповідальної особи за інформаційну безпеку (Chief Information Security Officer, CISO) та наділення її повноваженнями, достатніми для прийняття управлінських рішень. Також банки повинні сформувати окремі підрозділи з інформаційної безпеки виключно зі штатних працівників банку, які безпосередньо підпорядковуються CISO.
Імплементація норм постанови дасть можливість:
• посилити вимоги до захисту інформації в інформаційних системах банків з урахуванням актуальних кіберзагроз;
• визначити принципи управління інформаційною безпекою в банках;
• визначити принципи криптографічного захисту інформаційних систем Нацбанку;
• установити обов’язкові мінімальні вимоги щодо організації заходів із забезпечення безпеки інформації;
• установити вимоги до інформаційних систем банків, що взаємодіють з інформаційними системами Нацбанку.
Документ прийнято з метою вдосконалення вимог до захисту інформації в інформаційних системах банків з урахуванням актуальних кіберзагроз. Його норми відповідають принципам права Європейського Союзу та зобов’язанням України у сфері європейської інтеграції.
Постанова визначає принципи забезпечення та управління інформаційною безпекою, які базуються на нових, уведених у дію з 1 січня 2017 року, національних стандартах України з питань інформаційної безпеки (ДСТУ ISO/IEC 27001:2015 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги», ДСТУ ISO/IEC 27002:2015 «Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки») та принципах забезпечення інформаційної безпеки і кіберзахисту, що притаманні міжнародній практиці.
Постанова Правління НБУ від 28.09.17 р. № 95 набуває чинності з 01.03.18 р., крім розд. V Положення, який набуде чинності з 01.09.19 р. (дата набуття чинності вказана в документі).