Постановление НБУ №95

Как предотвратить банкопад 2.0?

Кибербезопасность стала очень актуальной и востребованной в Украине! Такова сегодняшняя реальность, возникшая в результате масштабных хакерских атак.

 

2017 год стал переломным и очень сложным для банковской системы Украины. Весной многие банки оказались заражены глобальным вирусом шифровальщиком WannaCry, который поражает компьютеры с операционной системой Microsoft Windows. Эта вредоносная программа массово выводила из строя рабочие места кассиров, менеджеров, операционистов и других банковских служащих.

Смотрите видео-комментарии к постановлению НБУ №95

 

Казалось, что после этого случая все, кто пострадал должны были принять серьёзные меры для повышения защищенности банковских систем и сетей. Но реальность показала следующее: 27 июня в 10.00 вирус Petya.А поразил 70% банковской инфраструктуры Украины.

 

Это привело к тому, что некоторые системообразующие банки несколько часов не могли проводить платежи. В этот раз пострадали не только рабочие места банковских служащих, но и, что очень опасно, серверы и базы данных.

 

Даже через месяц после окончания атаки вируса Petya.А. некоторые банки продолжали восстанавливать нарушенные бизнес-процессы и утраченные данные.

 

После этой масштабной хакерской атаки, которая сильно впечатлила общественность, Национальный банк Украины (НБУ), как регулятор банковской системы, начал разрабатывать меры, которые бы позволили в будущем предотвратить подобные эксцессы.

 

Результат этой работы следующий - Национальный банк Украины (НБУ) принял Постановление №95 от 28.09.2017, которое было официально опубликовано 04.10.2017г.

 

Это Постановление разработано с целью усовершенствования требований к защите информации в информационных системах банков с учетом актуальных киберугроз.

 

Постановление состоит из требований, которые необходимо внедрить для обеспечения информационной безопасности и киберзащиты банков.

 

Более детально Постановление №95 можно изучить на сайте Национального банка Украины (НБУ), пройдя по этой ссылке:

https://bank.gov.ua/document/download?docId=56426049

 

Постановление № 95 состоит из 150 пунктов, которые описывают принципы, подходы и требования к информационной безопасности. Каждый украинский банк должен придерживаться всех требований, изложенных в этом Постановлении.

 

Всего 12 пунктов из Постановления №95 содержат общее описание подходов и по своей сути требованиями не являются.

 

Остальные 138 пунктов - это перечень требований, которые будут проверяться Национальным банком Украины уже с первого марта 2018 года.

 

Как только было опубликовано Постановление НБУ №95, эту новость журналисты и обозреватели преподнесли как надвигающуюся катастрофу на банковскую отрасль.

Возникли вопросы?

 

 

Свяжитесь с нами для консультации

 

Всё, что связано с Постановлением № 95 начали называть «банкопад 2.0». Но, прежде чем пугать своих читателей, необходимо спросить мнения у тех специалистов, которые помогут банкам выполнить все требования Постановления №95.

 

Для того чтобы выполнить требования НБУ из Постановления №95 банкам придётся тесно сотрудничать со специалистами в сфере кибербезопасности.

 

Наша компания IT Специалист имеет в своём штате квалифицированных специалистов и все необходимые инструменты, программы и оборудование для того, чтобы помочь банкам выполнить все требования из Постановления №95.

 

Разберем кратко, в чём суть требований Постановления НБУ №95.

 

Требования, содержащиеся в Постановлении №95, не являются полностью оригинальной разработкой Национального банка Украины. Источником этих требований послужили Международные стандарты ISO/IEC 27001, ISO/IEC 27002 и PCI DSS, а также ранние постановления НБУ, посвященные вопросам информационной безопасности.

 

При этом, 84 требования из 138 относятся к техническим аспектам и подразумевают либо внедрение новых систем защиты, либо перенастройку существующих.

 

Что касается внедрения новых средств защиты, банкам необходимо уже сейчас предусмотреть бюджет на их закупку, развертывание и запуск.

 

Постановление Национального банка Украины (НБУ) №95 требует, чтобы в банки внедрили следующие основные технические системы:

  • обнаружение атак;
  • мониторинг события управления инцидентами;
  • контроль доступа к сети;
  • защита электронной почты;
  • предотвращение атак, направленных на отказ в обслуживании;
  • антивирусная защита;
  • двухфакторная аутентификация.

 

Следующие 30 требований из 138 подразумевают выполнение организационных изменений или создание новых бизнес-процессов.

 

Так, например, банк обязан сформировать руководящий орган по информационной безопасности, в который необходимо включить высшее руководство уровня правления. Также каждый банк, независимо от его размера, должен иметь подразделение, отвечающее за информационную безопасность, и в его составе должно быть не менее двух человек.

 

Каждый украинский банк обязан регулярно проводить тестирование на проникновение в критичные системы банка.

 

Последняя группа требований -  24 требования из 138. Необходимо, чтобы в банках были разработаны нормативные документы, устанавливающие правила для работы персонала.

 

Перечислим некоторые аспекты, которые должны быть прописаны в этих документах:

  • использование сменных носителей информации;
  • предоставление, отмена и контроль доступа к банковским информационным системам;
  • использования криптографии;
  • контроль изменений на уровне сети;
  • использование электронной почты.

 

Для того, чтобы внедрить эти 138 пунктов из Постановления №95, украинскому банку необходимо иметь опытных специалистов в самых разных областях информационной безопасности.

 

У этих специалистов должен быть самый обширный опыт в построении системы информационной безопасности, в проектировании процессов, во внедрении и эксплуатации технических систем защиты, а также в разработке нормативных документов. Не всем украинским банкам удаётся найти, привлечь и удержать специалистов высокого уровня, работающих в сфере кибербезопасности.

 

Времени до того, как НБУ начнет проверять банки на предмет выполнения Постановления №95 (март 2018года), очень мало. Если банки подойдут к реализации требований, изложенных в Постановлении НБУ №95 со своим стандартным подходом к бюджетированию проектов, то, скорее всего, они не успеют выполнить все в срок.

 

Для того чтобы выполнить все требования НБУ, необходимо выделять бюджет на создание кибербезопасности банка. Такое возможно только при тесном сотрудничестве с компанией, специализирующейся в сфере кибербезопасности. Одной из таких компаний является наша компания  - IT Специалист.

 

Компания IT Специалист имеет многолетний опыт построения систем управления информационной безопасностью.

 

В нашем штате трудятся квалифицированные специалисты, сертифицированные аудиторы, инженеры и белые хакеры - это команда настоящих профессионалов!

 

Для вашего банка мы проведём аудит, разработаем план выполнения всех требований НБУ из Постановления №95 и поможем реализовать его в самые сжатые сроки.

Постановление НБУ №95 обновлено: Июль 5, 2018 автором: Oleksandr Kubersky