Что необходимо внедрить банку для соответствия Постановлению НБУ №95

Начнём с цифр! Постановление Национального банка Украины (НБУ) №95 от 28.09.2017 содержит в себе 150 требований о внедрении в банках информационной безопасности. Это Постановление разработано с целью усовершенствования требований к защите информации в информационных системах банков с учётом актуальных киберугроз. А таких угроз за последнее время было немало, достаточно вспомнить о таких атаках, как WannaCry, Petya.А, BlackEnergy, Bad Rabbit.

Постановление состоит из требований, которые необходимо внедрить для обеспечения информационной безопасности и киберзащиты банков.

 

 

 Рассмотрим, чему же посвящены эти 150 требований.

  • Всего 12 требований из Постановления №95 содержат общее описание подходов и, по своей сути, требованиями не являются.

Остальные 138 пунктов - это перечень требований, выполнение которых, будет проверяться Национальным банком Украины уже с первого марта 2018 года.

  • 8 требований посвящены внедрению бизнес-процессов по обеспечению информационной безопасности.
  • 22 требования посвящены организации различных работ по защите информации и распределению ответственности за различные аспекты информационной безопасности (кибербезопасности) между подразделениями банка.
  • 24 требования описывают обязательные внутренние нормативные документы банка. Если в банке таких документов нет, в таком случае разработка этих документов производится в обязательном порядке.
  • 84 требования в той или иной мере касаются внедрения, настройки и использования технических и программных систем защиты информации.

Что же необходимо банку приобрести и какие системы внедрить, чтобы выполнить все требования Постановления НБУ №95?

 

 

Вот перечень всего того, что необходимо приобрести или внедрить банку в свою инфраструктуру:

 

  1. Система защиты от вирусов, современных шпионских программ и вымогателей. При этом антивирусное программное обеспечение должно быть установлено на всех компьютерах и серверах банка.
  2. Контроль использования сменных носителей, таких как флешки, переносные жёсткие диски и т.д. Эта система должна обеспечивать строгую идентификацию всех подключаемых к компьютерам банка устройств хранения информации. Основная задача системы - предотвращать несанкционированное копирование банковских документов на сменные носители.
  3. Системы контроля сетевого доступа. Эти системы известны под такими названиями, как межсетевые экраны, файрволлы, брандмауэры. Их основная задача - разделять сеть банка на изолированные сегменты и контролировать обмен данными между ними. Это позволяет предотвратить сетевые атаки и распространение вирусов.
  4. Система предотвращения атак. Она выполняет постоянный анализ данных, циркулирующих в сети. Выявляет сетевые атаки и сообщает о них специалистам службы информационной безопасности. Особенно важно, чтобы такая система выполняла мониторинг трафика на периметре сети банка.
  5. Система защиты от атак, направленных на отказ в обслуживании. Такие атаки в настоящее время очень распространены, и они легко могут заблокировать работу любого банка. Для защиты от них необходимо установить специализированное оборудование.
  6. Система контроля подключения к банковской сети. Такая система должна обеспечить однозначную идентификацию оборудования при подключении к сети банка и блокировать работу любых сторонних устройств, не принадлежащих банку. К примеру, не должно быть возможности подключить в сеть банка частный ноутбук сотрудника, планшет или смартфон.
  7. Система защиты электронной почты. Всю входящую и исходящую корпоративную почту банка необходимо проверять на предмет вирусов, спама, атак и несанкционированного использования.  
  8. Система контроля интернет-трафика. Такая система в банке должна ограничивать доступ сотрудников банка к тем сайтам, которые могут нести угрозу вирусного заражения или проникновения хакеров.
  9. Система централизованного управления сетью банка. Вся сеть банка должна управляться из единого операционно-диспетчерского центра - Network Operation Centre.
  10. Система централизованного управления параметрами операционных систем. Те банки, в которых не внедрена Microsoft Active Directory, обязаны использовать её или аналогичные централизованные каталоги.
  11. Система двухфакторной аутентификации. Сотрудники банка при подключении к любой автоматизированной банковской системе, обязаны кроме имени и пароля предъявлять смарт-карту или электронный ключ.
  12. Централизованная система управления учётными записями. Такая система обеспечивает полную автоматизацию всего жизненного цикла пользовательских учётных записей. Функции, которые реализует эта система - предоставление, блокирование и делегирование доступа.
  13. Система контроля администраторов. Такая система позволяет защититься от атак и несанкционированного доступа с использованием привилегированных учётных записей. Все атаки последних лет, включая WannaCry, Petya.А,  BlackEnergy, Bad Rabbit, были успешны именно потому, что проникали в компьютеры системных администраторов, а с них получали доступ ко всей инфраструктуре банка.
  14. Система усиленной защиты серверов. Она устанавливается на критические серверы банка и позволяет значительно укрепить их защищённость от большинства атак с помощью блокирования любых подозрительных действий.
  15. Система подготовки тестовых данных. Эта система позволяет сформировать наборы деперсонифицированных данных. Такие наборы необходимо использовать для тестирования всех банковских систем для того, чтобы ограничить возможность утечки реальных клиентских данных.
  16. Система мониторинга уязвимостей и установки программных обновлений. Задача этой системы оперативно выявлять в сети банка программные уязвимости и помогать специалистам службы защиты информации их закрывать.
  17. Система управления инцидентами информационной безопасности. Такая система позволяет обеспечить централизованный сбор информации о всех событиях, происходящих в сети банка, и оперативно реагировать на внештатные или подозрительные ситуации.

Вот перечень того, что должно быть внедрено в банке до 01.03.2018 года согласно требованиям Постановления НБУ № 95.

Реализация и внедрение всех систем в информационную структуру банка - непростая задача. Она требует опыта и высококвалифицированной подготовки от тех специалистов, которые будут внедрять и настраивать все эти системы.

Наша компания «ИТ-Специалист» долгое время успешно выполняет проекты по построению систем информационной безопасности в банках и специализируется на внедрении современных технологий по информационной безопасности (кибербезопасности).

Обращайтесь к нам, и мы создадим для вашего банка инфраструктуру, учитывая все требования из постановления НБУ №95.

Компания «ИТ-Специалист» - ваш надёжный партнёр в сфере информационной безопасности.

Возникли вопросы?

 

 

Свяжитесь с нами для консультации

Что необходимо внедрить банку для соответствия Постановлению НБУ №95 обновлено: Январь 17, 2018 автором: Oleksandr Kubersky