Положення НБУ про організацію заходів із забезпечення інформаційної безпеки (ІБ) в банківській системі України, яким, зокрема, введені обов'язкові мінімальні вимоги щодо забезпечення інформбезпеки та кіберзахисту, принципи управління інформаційною безпекою, набирає чинності з 1 березня 2018 року.
Зазначене положення затверджене відповідною постановою Правління НБУ №95 від 28 вересня 2017 року.
Водночас відсьогодні починають діяти базові заходи ІБ, а розділ Положення про додаткові заходи безпеки інформації наберуть чинності з 1 вересня 2019 року.
Так, документом передбачені введення заходів безпеки в мережі банку, зокрема, контролю доступу до інформаційних систем банку, а також заходів щодо безпеки інформації при використанні електронної пошти, криптографічний захист інформації, захист від зловмисного коду тощо.
Крім того, банки мають сформувати окремі підрозділи, що будуть опікуватись зазначеною сферою безпеки, а також призначити окрему відповідальну особу за інформбезпеку (Chief Information Security Officer, CISO) та наділити її повноваженнями, достатніми для прийняття управлінських рішень.
Як зазначається на сайті НБУ щодо прийняття зазначеної постанови, документ прийнято з метою удосконалення вимог до захисту інформації в інформаційних системах банків з урахуванням актуальних кіберзагроз.
Положення базуються на нових, уведених у дію з 1 січня 2017 року, національних стандартах України з питань інформаційної безпеки, та принципах забезпечення інформаційної безпеки і кіберзахисту, що притаманні міжнародній практиці.
Як пояснив Mind начальник управління інформаційної безпеки ОТП Банку Дмитро Янішевський, підхід НБУ щодо запровадження базового нормативного акту в сфері інформаційної безпеки з конкретним набором вимог щодо її забезпечення можна лише привітати.
«Попереднім нормативним актам НБУ у цій сфері, на жаль, часто бракувало конкретики і системності, що призводило до різного тлумачення і, як результат, залишало можливості для ігнорування вимог ІБ або ж залишало захист лише «на папері», – зазначив він.
Крім того, Янішевський додав, що зазначена постанова є «кодификацію best practice у сфері ІБ, якими банк і без того керувався у своїй роботі».
«Як працювали, так і будемо працювати. Нічого принципово нового для нас згадане положення не створило. Всі ці заходи і до прийняття постанови впроваджувалися банком на системній основі», – пояснив експерт.
Водночас, на його думку, зазначені дії НБУ позитивно вплинуть на інформаційну безпеку банківської системи в цілому, «особливо для тих банків, де були проблеми з обґрунтуванням необхідності впровадження заходів захисту».
«Всі запропоновані заходи – дієві, необхідно тільки системно підходити до їх впровадження та виділяти необхідні ресурси», – резюмував Янішевський.
Нагадаємо, проект зазначеного положення НБУ було оприлюднено одразу після потужної хакерської атаки, що відбулась наприкінці червня минулого року в Україні. Тоді невідомий вірус заблокував безліч комп’ютерів по всій країні, зокрема й у банках, енергетичних компаніях та інформаційних агентствах.
Про результати діяльності банків України за минулий рік читайте у оновленому рейтингу банків Mind.