Аудит информационной безопасности – эта та услуга, которая стала крайне востребованной в банковской отрасли в 2017 году. Причина повышения спроса на такую услугу очень проста. Национальный банк Украины (НБУ) принял Постановление №95 от 28.09.2017, которое было официально опубликовано 04.10.2017г. Оно посвящено обеспечению информационной безопасности в банках.
Требования, изложенные в Постановлении НБУ №95, необходимо выполнить до первого марта 2018 года. Это постановление содержит в себе более сотни требований, и все они предполагают серьёзные изменения и модернизацию инфраструктуры банка. Естественно, что такое событие повергло в шок банковскую отрасль! Многие представители банков до сих пор не знают, как выполнить все требования в указанный срок, да и в общем не понятно, как подойти к этой проблеме. Кибербезопасность банка должна быть обеспечена на самом высоком уровне, при этом в очень сжатые сроки.
Сложностей добавляет и тот факт, что многие банки только недавно закончили восстанавливать свою инфраструктуру после атак вирусами–шифровальщиками WannaCry и Petya.Not. А теперь у руководителей банков появилась следующая актуальная проблема: необходимо выполнить все требования Постановления НБУ № 95 до марта 2018 года, и тем самым подготовиться к визитам аудиторов Национального банка Украины.
С каких действий можно начать выполнять требования НБУ, изложенные в Постановлении №95?
Наши специалисты, имеющие огромный опыт в сфере кибербезопасности, советуют следующее:
- Прежде чем начать выполнять требования Постановления №95, было бы неплохо проанализировать, какие из этих требований в банке уже выполнены, а какие ещё нет. Это избавит от ненужных действий и суеты.
- Крайне важно выяснить, выполнение каких требований будет нуждаться в дополнительном финансировании. Это позволит произвести формирование общего бюджета.
- Необходимо спланировать действия сотрудников банка по реализации всех этих требований. Это особенно важно, если количество штатных специалистов по информационной безопасности ограничено, и банк не имеет полноценную систему управления информационной инфраструктурой.
Конечно, много сложностей добавится в том случае, если банк ни разу не проходил сертификацию по стандартам PCI DSS и ISO 27001.
Что же делать начальнику службы информационной безопасности банка? Ведь для него чрезвычайно важно не допустить того, что при проверке НБУ выяснится факт невыполнения требований Постановления №95.
Для того чтобы начальнику службы информационной безопасности не иметь проблем с аудиторами НБУ, ему необходимо начинать тесное сотрудничество с компанией, предоставляющей услуги по информационной безопасности (кибербезопасности).
Понимая потребности банков, наша компания «ИТ Специалист» предлагает такую услугу, как экспресс-аудит соответствия банка требованиям Постановления НБУ №95.
Экспресс-аудит — это полноценный аудит информационной безопасности банка. Слово экспресс говорит лишь о том, что аудит может быть проведён в очень краткие сроки и не требует больших затрат.
Возникли вопросы?
Свяжитесь с нами для консультации
Как проходит аудит информационной безопасности?
До начала проведения аудита информационной безопасности специалисты нашей компании отправляют клиенту краткую анкету, которая позволяет сделать базовую оценку спецификации банка, а также определить, какие ключевые бизнес-процессы выполняются и какие средства защиты информации уже внедрены и реализованы.
Представителям банка необходимо заполнить эту анкету и отправить обратно в офис нашей компании «ИТ Специалист». После получения заполненной анкеты наши сотрудники созваниваются с представителями банка. Во время этого телефонного разговора назначается день, когда наш аудитор приедет в банк для анализа существующей системы управления информационной безопасностью.
Во время аудита информационной безопасности, выполняемого на территории банка, наш консультант проводит такие работы:
- Проверяет наличие обязательных внутренних документов, таких как: политики, процедуры, инструкции, регламентирующие информационную безопасность банка.
- Проводит собеседования, интервью с ит-администраторами, специалистами по защите информации, сотрудниками служб банковской безопасности и отделом HR.
- Посещает дата-центр и проверяет выполнение требований НБУ к физическому размещению серверного и коммутационного оборудования.
Крайне важно, чтобы в течение всего дня нашего аудитора сопровождал выделенный специалист со стороны банка, который сможет ответить на вопросы, возникающие в процессе аудита.
Главное — это эффективно организовать взаимодействие между аудитором информационной безопасности и сотрудниками банка.
Через два дня банку будет предоставлен отчёт по результатам экспресс-аудита информационной безопасности.
Что будет содержать этот отчёт и как правильно использовать его результаты?
Отчёт по результатам проведения аудита информационной безопасности даёт оценку общего состояния информационной безопасности в банке и степени её соответствия требованиям НБУ.
По каждому требованию, которому банк не соответствует, отчёт даёт подробное описание всех выявленных аудитором недочетов и рекомендации по их устранению.
Также в отчёте будет находиться рекомендуемый перечень проектов, обязательных к выполнению, и план их реализации, учитывающий существующие ресурсы банка. Важно отметить отдельно, что все предложенные решения являются проверенными и наиболее эффективными из доступных в Украине.
Фактически начальнику службы информационной безопасности остаётся согласовать этот план с Правлением банка и планомерно реализовать заложенные в него шаги. Это позволит руководству банка к марту 2018 года подойти полностью подготовленным и быть уверенным, что проверка НБУ пройдёт легко и без замечаний.
Благодаря экспресс-аудиту информационной безопасности все требования Постановления НБУ №95 будут выполнены безукоризненно!
Наша компания «ИТ-Специалист» проведёт экспресс-аудит информационной безопасности для вашего банка, разработает план устранения несоответствий и поможет выполнить все пункты плана в самые сжатые сроки.
«ИТ-Специалист» — ваш надёжный партнёр в аудите информационной безопасности.
