НБУ пропонує посилити вимоги до інформаційної безпеки та кіберзахисту у банках України

Національний банк України (НБУ) виніс на громадське обговорення проект постанови правління регулятора "Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України".

Як повідомляється на веб-сайті НБУ, проектом постанови вперше передбачено регулювання Нацбанком питань безпеки інформації та кіберзахисту банківської системи України шляхом визначення обов'язкових вимог щодо організації заходів інформаційної безпеки, які поетапно мають впроваджуватися банками.

На першому етапі, який триватиме до березня 2018 року, передбачається впровадження базових заходів інформаційної безпеки, на другому (до вересня 2019 року) - заходів для підвищення рівня зрілості інформаційної безпеки. Зокрема, заходи безпеки інформації включають захист від зловмисного коду, заходи безпеки при використанні електронної пошти, контроль доступу до інформаційних систем банку, заходи безпеки в мережі банку, криптографічний захист інформації.

Крім того, проектом постанови передбачається призначення у банках відповідальної особи за інформаційну безпеку (Chief Information Security Officer, CISO) та наділення її повноваженнями, достатніми для прийняття управлінських рішень. Також банки повинні сформувати окремі підрозділи з інформаційної безпеки виключно зі штатних працівників банку, які безпосередньо підпорядковуються CISO.

Як зазначено в повідомленні, імплементація норм цього документа дасть змогу посилити вимоги до захисту інформації в інформаційних системах банків України з урахуванням актуальних кіберзагроз, установити принципи управління інформаційною безпекою в банках, визначити принципи криптографічного захисту інформаційних систем НБУ, встановити обов'язкові мінімальні вимоги до організації заходів із забезпечення безпеки.