Кібербезпека банківських та комерційних структур

2. Система управління інформаційною безпекою банківської установи

Враховуючи те, що управління інформаційною безпекою в банківських установах має свої особливості, визначимо, що основними об’єктами захисту у системі управління інформаційною безпекою банку є:

• інформаційні ресурси, що містять комерційну та банківську таємницю, відомості обмеженого поширення, а також відкрита інформація, необхідна для роботи банку, незалежно від форми її подання;

• інформаційні ресурси, що містять конфіденційну інформацію, включаючи персональні дані фізичних осіб, а також відкрита інформація, необхідна для роботи банку;

• інформаційна інфраструктура банку, яка інформаційно-телекомунікаційні системи, системи і засоби захисту інформації і приміщень, в яких розміщено такі системи.

Постанова правління Національного банку України від 28.08.2017 № 95 зобов’язує банки упровадити систему управління інформаційною безпекою (СУІБ) згідно з ДСТУ КОЛЕС 27001:2015 для визначеної сфери застосування з урахуванням обов’язкових вимог щодо впровадження СУІБ, викладених у Положенні про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженого цією постановою.

Передумовами впровадження СУІБ у банку є:

1) упровадження процесного підходу до діяльності банку;

2) упровадження ризик-орієнтованого підходу до забезпечення інформаційної безпеки банку.

Ця постанова також зобов’язує банк визначити мінімальною сферою застосування СУІБ усі критичні бізнес-процеси банку. Банк має право розширити сферу застосування СУІБ банку відповідно до особливостей його діяльності, характеру та обсягу банківських, фінансових послуг та інших видів діяльності.

У розділі II викладено вимоги щодо впровадження СУІБ у банку :

• сформувати колективний керівний орган з питань впровадження та функціонування СУІБ (керівний орган СУІБ) або наділити цими повноваженнями існуючий колективний керівний орган банку та розробити положення про керівний орган СУІБ банку з чітким визначенням його завдань, функцій та відповідальності;

• включити до складу керівного органу СУІБ голову правління банку та/або його заступника, що відповідає за інформаційну безпеку банку, керівників підрозділів банку - власників критичних бізнес-процесів банку та керівника підрозділу банку з управління ризиками. Банк має право ввести до складу керівного органу СУІБ інших працівників банку відповідно до потреб, що обумовлені особливостями діяльності банку;

• покласти на керівний орган СУІБ обов’язок виконання таких завдань:

1) погодження та перегляд політики інформаційної безпеки, положення щодо застосовності та стратегії розвитку інформаційної безпеки банку;

2) узгодження впровадження нових проектів, напрямів, стратегічних завдань з питань інформаційної безпеки банку та заходів інформаційної безпеки;

3) розгляд, затвердження та контроль за виконанням проектів щодо розроблення, упровадження, функціонування, моніторингу, перегляду, підтримання та вдосконалення СУІБ банку;

4) визначення необхідних оптимальних ресурсів для впровадження заходів інформаційної безпеки;

5) організація практичних заходів щодо підвищення обізнаності/навчання персоналу банку з питань інформаційної безпеки;

6) забезпечення своєчасного моніторингу стану впровадження та ефективності функціонування СУІБ банку з подальшою оцінкою можливостей вдосконалення та потреби проведення коригувальних дій;

• розробити та впровадити політику інформаційної безпеки, яка має містити:

1) цілі інформаційної безпеки;

2) сферу застосування політики інформаційної безпеки;

3) принципи, правила та вимоги інформаційної безпеки в банку;

4) визначення функцій (ролей) і відповідальності за забезпечення інформаційної безпеки.

Стандарти Національного банку України базуються на міжнародних стандартах КО 27001 та КО 27002 з додаванням вимог із захисту інформації, зумовлених конкретними потребами сфери банківської діяльності і правовими вимогами, які вже висунуто в нормативних документах Національного банку України.