Экспресс-аудит соответствия банка требованиям Постановления НБУ №95

Аудит информационной безопасности – эта та услуга, которая стала крайне востребованной в банковской отрасли в 2017 году. Причина повышения спроса на такую услугу очень проста. Национальный банк Украины (НБУ) принял Постановление №95 от 28.09.2017, которое было официально опубликовано 04.10.2017г. Оно посвящено обеспечению информационной безопасности в банках.

 

Требования, изложенные в Постановлении НБУ №95, необходимо выполнить до первого марта 2018 года. Это постановление содержит в себе более сотни требований, и все они предполагают серьёзные изменения и модернизацию инфраструктуры банка. Естественно, что такое событие повергло в шок банковскую отрасль!  Многие представители банков до сих пор не знают, как выполнить все требования в указанный срок, да и в общем не понятно, как подойти к этой проблеме. Кибербезопасность банка должна быть обеспечена на самом высоком уровне, при этом в очень сжатые сроки.

 

Сложностей добавляет и тот факт, что многие банки только недавно закончили восстанавливать свою инфраструктуру после атак вирусами–шифровальщиками WannaCry и Petya.Not. А теперь у руководителей банков появилась следующая актуальная проблема: необходимо выполнить все требования Постановления НБУ № 95 до марта 2018 года, и тем самым подготовиться к визитам аудиторов Национального банка Украины.

 

С каких действий можно начать выполнять требования НБУ, изложенные в Постановлении №95?

 

Наши специалисты, имеющие огромный опыт в сфере кибербезопасности, советуют следующее:

  • Прежде чем начать выполнять требования Постановления №95, было бы неплохо проанализировать, какие из этих требований в банке уже выполнены, а какие ещё нет. Это избавит от ненужных действий и суеты.
  • Крайне важно выяснить, выполнение каких требований будет нуждаться в дополнительном финансировании. Это позволит произвести формирование общего бюджета.
  • Необходимо спланировать действия сотрудников банка по реализации всех этих требований. Это особенно важно, если количество штатных специалистов по информационной безопасности ограничено, и банк не имеет полноценную систему управления информационной инфраструктурой.

 

Конечно, много сложностей добавится в том случае, если банк ни разу не проходил сертификацию по стандартам PCI DSS и ISO 27001.

 

Что же делать начальнику службы информационной безопасности банка?  Ведь для него чрезвычайно важно не допустить того, что при проверке НБУ выяснится факт невыполнения требований Постановления №95.

 

Для того чтобы начальнику службы информационной безопасности не иметь проблем с аудиторами НБУ, ему необходимо начинать тесное сотрудничество с компанией, предоставляющей услуги по информационной безопасности (кибербезопасности).

 

Понимая потребности банков, наша компания «ИТ Специалист» предлагает такую услугу, как экспресс-аудит соответствия банка требованиям Постановления НБУ №95.

 

Экспресс-аудит - это полноценный аудит информационной безопасности банка. Слово экспресс говорит лишь о том, что аудит может быть проведён в очень краткие сроки и не требует больших затрат.

Возникли вопросы?

 

 

Свяжитесь с нами для консультации

Как проходит аудит информационной безопасности?

 

До начала проведения аудита информационной безопасности специалисты нашей компании отправляют клиенту краткую анкету, которая позволяет сделать базовую оценку спецификации банка, а также определить, какие ключевые бизнес-процессы выполняются и какие средства защиты информации уже внедрены и реализованы.

 

Представителям банка необходимо заполнить эту анкету и отправить обратно в офис нашей компании «ИТ Специалист». После получения заполненной анкеты наши сотрудники созваниваются с представителями банка. Во время этого телефонного разговора назначается день, когда наш аудитор приедет в банк для анализа существующей системы управления информационной безопасностью.

 

Во время аудита информационной безопасности, выполняемого на территории банка, наш консультант проводит такие работы:

 

  1. Проверяет наличие обязательных внутренних документов, таких как: политики, процедуры, инструкции, регламентирующие информационную безопасность банка.
  2. Проводит собеседования, интервью с ит-администраторами, специалистами по защите информации, сотрудниками служб банковской безопасности и отделом HR.
  3. Посещает дата-центр и проверяет выполнение требований НБУ к физическому размещению серверного и коммутационного оборудования.

 

Крайне важно, чтобы в течение всего дня нашего аудитора сопровождал выделенный специалист со стороны банка, который сможет ответить на вопросы, возникающие в процессе аудита.

 

Главное - это эффективно организовать взаимодействие между аудитором информационной безопасности и сотрудниками банка.

 

Через два дня банку будет предоставлен отчёт по результатам экспресс-аудита информационной безопасности.

 

Что будет содержать этот отчёт и как правильно использовать его результаты?

 

Отчёт по результатам проведения аудита информационной безопасности даёт оценку общего состояния информационной безопасности в банке и степени её соответствия требованиям НБУ.

 

По каждому требованию, которому банк не соответствует, отчёт даёт подробное описание всех выявленных аудитором недочетов и рекомендации по их устранению.

 

Также в отчёте будет находиться рекомендуемый перечень проектов, обязательных к выполнению, и план их реализации, учитывающий существующие ресурсы банка. Важно отметить отдельно, что все предложенные решения являются проверенными и наиболее эффективными из доступных в Украине.

 

Фактически начальнику службы информационной безопасности остаётся согласовать этот план с Правлением банка и планомерно реализовать заложенные в него шаги. Это позволит руководству банка к марту 2018 года подойти полностью подготовленным и быть уверенным, что проверка НБУ пройдёт легко и без замечаний.

 

Благодаря экспресс-аудиту информационной безопасности все требования Постановления НБУ №95 будут выполнены безукоризненно!

 

Наша компания «ИТ-Специалист» проведёт экспресс-аудит информационной безопасности для вашего банка, разработает план устранения несоответствий и поможет выполнить все пункты плана в самые сжатые сроки.

 

«ИТ-Специалист» - ваш надёжный партнёр в аудите информационной безопасности.

Экспресс-аудит соответствия банка требованиям Постановления НБУ №95 обновлено: Январь 17, 2018 автором: Oleksandr Kubersky