Какая связь Постановления НБУ № 95 со стандартом PCI DSS?

Какая связь Постановления НБУ № 95  со стандартом PCI DSS?

 

Журналисты и обозреватели многих интернет-порталов пророчат, что весной 2018 года может начаться банкопад 2.0. Почему появилась эта устрашающая информация?

 

После того, как Национальный банк Украины (НБУ) опубликовал Постановление №95  о внедрении кибербезопасности в банках, появились статьи и слухи о том, что может произойти очередной банкопад.

 

Но действительно ли будет этот банкопад?

 

Многие банки Украины прошли сертификацию по международному стандарту PCI DSS. Таким банкам, скорее всего, не грозит никакой банкопад! Так утверждают ключевые специалисты нашей компании, работающей в  сфере кибербезопасности.

 

В этой статье мы поговорим на тему того, какая связь между Постановлением НБУ №95 и Международным стандартом безопасности PCI DSS. Эта связь не случайна, так как требования НБУ и требования стандарта PCI DSS нацелены на защиту и сохранение информации.

 

Национальный банк Украины (НБУ) принял Постановление №95 от 28.09.2017г., которое было официально опубликовано 04.10.2017г. Постановление разработано с целью усовершенствования требований к защите информации в информационных системах банков с учётом актуальных киберугроз.

 

Это постановление состоит из требований, которые необходимо внедрить для обеспечения информационной безопасности и киберзащиты банков.  Более детально Постановление №95 можно изучить на сайте Национального банка Украины (НБУ) https://bank.gov.ua/document/download?docId=56426049

 

Требования НБУ, изложенные в Постановлении № 95, это наиболее комплексный набор рекомендаций по обеспечению информационной безопасности в банках.

 

Специалисты, связанные с информационной безопасностью банков,  знают, что сотрудники НБУ  за последние годы разработали десятки, а, может быть, и сотни требований. Все требования посвящены осуществлению и внедрению банками информационной безопасности. В 2010-м году Национальный банк Украины даже выпустил свои собственные Стандарты по информационной безопасности, которые называются СОУ Н НБУ 65.1 СУІБ 1. 0:2010 и СОУ Н НБУ 65.1 СУІБ 2. 0:2010.

 

В Постановлении №95 Национальный банк Украины (НБУ) использовал все свои лучшие требования, которые были ранее разработаны и опубликованы. Кроме того, Постановление НБУ №95 содержит в себе многие формулировки, основанные на международном стандарте по информационной безопасности ISO/IEC 27001 версии 2013 года.

 

По сути, разработчики Постановления НБУ №95 взяли за основу требования стандарта ISO/IEC 27001. Только требования для Постановления №95 сделали боле конкретными, точными, и адаптировали под особенности украинских банков.

 

Давайте посмотрим на историю создания стандарта PCI DSS.

 

Стандарт PCI DSS (Payment Card Industry Data Security Standard) – это совокупность требований по обеспечению безопасности данных о держателях платёжных карт, которые хранятся, передаются и обрабатываются в информационных инфраструктурах организаций. Стандарт разработан по инициативе VISA, MasterCard и других компаний.

 

Основная задача стандарта PCI DSS – это обеспечение безопасности сетевой инфраструктуры и защита хранимых данных о держателях платёжных карт, так как это самые уязвимые места, напрямую угрожающие потере конфиденциальности и денежных средств.

 

Стандарт PCI DSS создавался путём адаптации требований ISO/IEC 27001 к особенностям технологий хранения и обработки данных платёжных карт.

 

Если внимательно присмотреться, то становится понятно, что стандарт безопасности ISO/IEC 27001 говорит о том, что рекомендовано сделать, а как это сделать, каждая компания решает самостоятельно.

В отличие от ISO/IEC 27001 стандарт PCI DSS говорит конкретно: что необходимо  защищать,  каким способом осуществлять эту защиту  и как проверить то, что требования стандарта PCI DSS выполнены.

 

Пример: в стандарте ISO/IEC 27001 содержится рекомендация проанализировать все данные, с которыми имеет дело компания, определить самостоятельно, какие из них являются критичными, и самостоятельно выработать для них механизм защиты.

 

В стандарте PCI DSS это же  требование выражено намного короче – компания обязана шифровать хранящиеся у неё данные платёжных карт.

Возникли вопросы?

 

 

Свяжитесь с нами для консультации

У Постановления НБУ №95 и у стандарта PCI DSS похожий путь развития – адаптация требований стандарта ISO/IEC 27001 для  своих целей.

 

Детальный анализ Постановления НБУ №95 показывает, что боле 60% требований имеют аналогичные требования в стандарте PCI DSS.

 

Именно в этом связь Постановления № 95 со стандартом PCI DSS!

 

Пример: требование №37 из Постановления НБУ №95 обязует банк обеспечить выполнение принципа предоставления минимального уровня полномочий пользователям в информационных системах банка.

 

Если открыть стандарт PCI DSS на требовании 7.1.2, мы увидим практически ту же формулировку - ограничить доступ привилегированных пользователей до минимально необходимого уровня, который требуется для выполнения служебных обязанностей.

 

Остальные 40% требований Постановления №95 имеют оригинальное авторство Национального банка Украины (НБУ) и посвящены таким аспектам, как:

  • Порядок использования алгоритмов шифрования;
  • Организация работы с центром сертификации ключей;
  • Выстраивание структуры иерархии ответственности за кибербезопасность внутри банка.

 

Из сказанного выше следует, что если в банке уже выстроена система информационной безопасности и пройдена сертификация по стандарту PCI DSS, то для такого банка нет необходимости вкладывать большие средства в выполнение всех требований НБУ, изложенных в Постановлении № 95.

 

Достаточно немного модифицировать внутренние нормативные документы и, возможно, дополнительно настроить уже внедрённые системы. Это можно сделать в очень сжатые сроки, буквально за несколько недель.

 

Таким образом, те банки, которые уже  сертифицированы по стандарту PCI DSS, имеют огромное преимущество перед банками, которые не проходили данную сертификацию.

 

Всем банкам, прошедшим сертификацию PCI DSS, проще выполнить требования НБУ. Это значит, что им не грозит никакой банкопад 2:0.

 

Многие банки так и не прошли сертификацию по стандарту PCI DSS.  Таким банкам лучше пройти данную сертификацию и тем самым, делая одно действие, получить двойную выгоду. Как говорится, одним выстрелом убиваются два зайца.

 

Выполняя требования стандарта PCI DSS, банк автоматически выполняет более 60% требований НБУ, содержащихся в Постановлении №95.

 

Сертификация по стандарту PCI DSS - это путь, по которому стоит идти для того, чтобы избежать банкопада 2:0.

 

Наша компания «ИТ Специалист» поможет вашему банку выстроить индивидуальную систему кибербезопасности, пройти сертификацию по стандарту PCI DSS и  выполнить все требования Постановления НБУ № 95 в самые сжатые сроки.

 

С помощью нашей команды профессионалов в сфере кибербезопасности вашему банку не грозит банкопад!

Какая связь Постановления НБУ № 95 со стандартом PCI DSS? обновлено: Январь 17, 2018 автором: Oleksandr Kubersky