НБУ требует у банков стратегию информационной безопасности

Стратегия – это определённое направление развития или план действий. Когда дело касается информационной безопасности (кибербезопасности), невозможно обойтись без разработки стратегии, это просто необходимость. По сути, разработка стратегии – это отправная точка в создании современной структуры информационной безопасности для банка.

 

Постановление Национального банка Украины (НБУ) №95 от 28.09.2017   предъявляет более ста требований банкам по обеспечению информационной безопасности, при этом устанавливает жёсткие сроки для их выполнения. Одним из самых сложных для понимания и реализации является пункт №20, описывающий необходимость разработки в банке стратегии развития информационной безопасности (кибербезопасности).

 

Почему Национальный банк Украины (НБУ) уделят вопросу стратегии столько внимания? Ведь ни один нормативный документ от НБУ до выхода Постановления №95 не содержал требований по стратегическому подходу?

 

До недавнего времени большинство украинских банков прекрасно функционировали не только без стратегии информационной безопасности, но и без какого-либо стратегического развития своего бизнеса в целом. Возможно, так бы продолжалось ещё долго, если бы такие банки не пострадали от весьма «безобидных» вирусов WannaCry и Petya.Not. Причём так называемый вирус Petya был настолько «безобидным», что поразил около 70% банковской инфраструктуры Украины.

 

Опыт последних лет показал, что отсутствие хорошего стратегического плана приводит к тому, что информационная безопасность финансируется в последнюю очередь.

 

В результате такого подхода у многих банков система информационной безопасности строилась «лоскутно-заплатным» методом. Когда при минимальном финансировании специалисты службы безопасности занимались только латанием дыр и поддержкой текущей операционной деятельности инфраструктуры банка.

 

Многие банки даже не проходили сертификации по международным стандартам безопасности ISO/IEC 27001 и PCI DSS.

 

Крайне важно, чтобы руководители банков осознавали, что без планирования деятельности по обеспечению информационной безопасности хотя бы на три года вперёд, все проекты по информационной защите (киберзащите) банка быстро теряют актуальность.

 

Это происходит по той причине, что выделяемые средства расходуются не эффективно, и общий уровень защищённости банка от киберугроз не только не повышается, а иногда и снижается.

 

Очень важно провести тщательный, детальный анализ бизнес-процессов банка, имеющихся активов, актуальных угроз и планов развития бизнеса для того, чтобы сформировать чёткое видение системы управления информационной безопасностью и того, как она должна развиваться.

Возникли вопросы?

 

 

Свяжитесь с нами для консультации

Какие разделы должна включать в себя стратегия развития информационной безопасности?

Каждая стратегия состоит из трёх основных разделов:

  • Анализ текущего состояния информационной безопасности, так называемый «as-is».
  • Целевая модель информационной безопасности «to-be».
  • План мероприятий по переходу к целевой модели информационной безопасности.

Анализ текущего состояния информационной безопасности должен быть основан на результатах внешнего или внутреннего аудита. При этом обязательно анализируются следующее аспекты:

  • Управление персоналом и организация деятельности банка.
  • Бизнес-процессы и подходы к обеспечению информационной безопасности.
  • Безопасность ит-систем и технологий.

Целевая модель информационной безопасности определяет следующие ключевые вопросы:

  • Роль и миссия информационной безопасности в банке.
  • Цели развития информационной безопасности в пятилетней перспективе.
  • Ключевые направления развития информационной безопасности и их декомпозиция.
  • Целевой уровень зрелости процессов информационной безопасности.

В плане мероприятий по переходу к целевой модели информационной безопасности стратегия должна определять:

  • Основные приоритеты развития системы управления информационной безопасностью.
  • Дорожная карта проектов.
  • Детальное описание каждого проекта, включая его бюджет, цели и требования к результату.

Основной выгодой для банка от полученной стратегии развития информационной безопасности является наличие плана проектов.

 

Благодаря этому плану проектов возникает возможность эффективного управления затратами на информационную безопасность. Руководство банка получает чёткое понимание того, как будет совершенствоваться система защиты информации. Это даст уверенность в готовности банка противостоять любым атакам и внешним угрозам.

 

Важно учитывать тот факт, что Постановление НБУ №95 официально опубликовано 04.10.2017г., а внедрить, выполнить и реализовать все пункты этого постановления банки обязаны до 01.03.2018г. Времени осталось не очень много, и, чтобы успеть в срок, представителям банков необходимо предпринять следующие действия.

 

Во-первых, не тратить время впустую, а как можно быстрее приняться за выполнение и внедрение всех пунктов Постановления НБУ № 95.

 

Во-вторых, особое внимание уделить стратегии развития информационной безопасности.

 

В-третьих, для решения всех текущих задач пользоваться услугами квалифицированных специалистов в сфере информационной безопасности.

 

Компания «ИТ-Специалист» выполняет работы по разработке стратегий информационной безопасности банков и имеет в штате сертифицированных аудиторов, квалифицированных инженеров и профессиональных консультантов, которые помогут создать высокоэффективный план развития и реализовать его в самые сжатые сроки.  Кроме этого, мы поможем банкам выполнить все остальные требования из Постановления НБУ №95.

 

Наша компания - ваш надёжный партнёр в формировании стратегии информационной безопасности банка.

НБУ требует у банков стратегию информационной безопасности обновлено: Январь 17, 2018 автором: Oleksandr Kubersky