Национальный банк предлагает ужесточить требования к информационной безопасности и киберзащите в банках Украины.
Регулятор разработал проект постановления «Об утверждении положения об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины».
Проектом постановления впервые предусмотрено регулирование Нацбанком вопросов безопасности информации и кибернетической защиты банковской системы Украины путем определения обязательных требований по организации мер информационной безопасности, которые поэтапно должны внедряться банками:
— первый этап (основной — внедрение базовых мер информационной безопасности) — до марта 2018 года;
— второй этап (внедрение дополнительных мероприятий для повышения уровня зрелости информационной безопасности) — до сентября 2019 года.
Указаны меры безопасности информации включают в себя защиту от злонамеренного кода, меры безопасности при использовании электронной почты, контроль доступа к информационным системам банка, меры безопасности в сети банка, криптографическая защита информации.
Проектом постановления предусматривается назначение в банках ответственного лица по информационной безопасности (Chief Information Security Officer, CISO) и наделение ее полномочиями, достаточными для принятия управленческих решений. Также банки должны сформировать отдельные подразделения по информационной безопасности исключительно из штатных сотрудников банка, которые непосредственно подчиняются CISO.
Имплементация норм этого документа даст возможность: ужесточить требования к защите информации в информационных системах банков Украины с учетом актуальных киберугроз; установить принципы управления информационной безопасностью в банках; определить принципы криптографической защиты информационных систем НБУ; установить обязательные минимальные требования по организации мероприятий по обеспечению безопасности информации и порядок поэтапного внедрения этих требований банками.