Кібербезпека банківських та комерційних структур

1. Вимоги до інформаційної безпеки в банківській системі України

1) обов’язкові мінімальні вимоги щодо організації заходів із забезпечення інформаційної безпеки та кіберзахисту;

2) принципи управління інформаційною безпекою;

3) вимоги до інформаційних систем банку, що взаємодіють з інформаційними системами Національного банку України (далі - Національний банк), з урахуванням напрямів розвитку криптографічного захисту інформації в інформаційних системах Національного банку.

3. У цьому Положенні терміни та поняття вживаються в таких значеннях:

1) багатофакторна автентифікація - автентифікація, яка здійснюється за допомогою захищених механізмів двох або більше типів [наприклад, застосування для автентифікації пароля разом із апаратним засобом захисту інформації (токеном) або біометричної автентифікації разом із паролем];

2) зловмисний код - комп’ютерна програма/комплекс комп’ютерних програм або частина програмного коду інформаційної системи, що впроваджується за участю користувача або виконується автоматично,

- створює загрозу або умови для реалізації загрози порушення штатної роботи обладнання банку та/або порушення конфіденційності, цілісності, доступності інформації, яка обробляється в інформаційних системах банку;

3) критичні бізнес-процеси банку - бізнес-процеси діяльності банку, визначені банком критичними щодо інформаційної безпеки за результатом їх оцінювання банком за такими критеріями: конфіденційність, цілісність, доступність;

4) мережа банку - комплекс технічних засобів телекомунікацій, призначених для маршрутизації, комутації, передавання та/або приймання інформації дротовим та/або бездротовим зв’язком між кінцевим обладнанням (комп’ютерне обладнання, інші компоненти інформаційних систем банку) усередині периметра банку;

5) мінімальний рівень повноважень - повноваження та права доступу, мінімально необхідні для якісного виконання персоналом банку службових обов’язків;

6) пристрої уніфікованого управління загрозами (Unified threat management, UTM) - пристрої, які можуть виконувати кілька функцій безпеки з одного пристрою: міжмережевий екран, запобігання несанкціонованого доступу до мережі, антивірусний шлюз, антиспамовий шлюз, віртуальна приватна мережа (Virtual private network, VPN), фільтрація вмісту, балансування навантаження, запобігання витоку даних;

7)ризик-орієнтований підхід до забезпечення інформаційної безпеки - прийняття управлінських рішень на підставі аналізу порівняння поточних ризиків інформаційної безпеки з прийнятними.

Інші терміни, що вживаються в цьому Положенні, використовуються в значеннях, визначених законами України, нормативно-правовими актами Національного банку та ДСТУ ISO/IEC 27000:2015.