fbpx

Постанова НБУ №95

Як попередити банкопад 2.0?

Кібербезпека стала дуже актуальною і потрібною в Україні! Така сьогоднішня реальність, яка виникла в результаті масштабних хакерських атак.

2017 рік став переломним і дуже складним для банківської системи України. Навесні багато банків були заражені глобальним вірусом-шифрувальником WannaCry, який вражає комп’ютери з операційною системою Microsoft Windows. Ця шкідлива програма масово виводила з ладу робочі місця касирів, менеджерів, операціоністів та інших банківських службовців.

Здавалося, що після цього випадку всі, хто постраждав повинні були прийняти серйозні заходи для підвищення захищеності банківських систем і мереж. Але реальність показала наступне: 27 червня о 10.00 вірус Petya.А вразив 70% банківської інфраструктури України.

Це призвело до того, що деякі ключові банки кілька годин не могли проводити платежі. Цього разу постраждали не тільки робочі місця банківських службовців, а й, що дуже небезпечно, сервери та бази даних.

Навіть через місяць після закінчення атаки вірусу Petya.А деякі банки продовжували відновлювати порушені бізнес-процеси та втрачені дані.

Після цієї масштабної хакерської атаки, яка сильно вразила громадськість, Національний банк України (НБУ) як регулятор банківської системи почав розробляти заходи, які б дозволили в майбутньому запобігти подібним ексцесам.

Результатом цієї роботи стало прийняття Постанови №95 Національного банку України (НБУ) від 28.09.2017, яку було офіційно опубліковано 04.10.2017г.

Ця Постанова розроблена з метою удосконалення вимог до захисту інформації в інформаційних системах банків з урахуванням актуальних кіберзагроз.

Постанова складається з вимог, які необхідно впровадити для забезпечення інформаційної безпеки і кіберзахисту банків.

Більш детально Постанову №95 можна вивчити на сайті Національного банку України (НБУ), перейшовши за цим посиланням:

https://bank.gov.ua/document/download?docId=56426049

Постанова № 95 складається зі 150 пунктів, які описують принципи, підходи та вимоги до інформаційної безпеки. Кожен український банк повинен дотримуватися всіх вимог, викладених у цій Постанові.

Усього 12 пунктів з Постанови №95 містять загальний опис підходів і за своєю суттю не є вимогами.

Решта 138 пунктів – це перелік вимог, які будуть перевірятися Національним банком України вже з першого березня 2018 року.

Як тільки було опубліковано Постанову НБУ №95, цю новину журналісти й оглядачі описали як катастрофу, що насувається на банківську галузь.

Виникли питання?

Зв’яжітся з нами для консультації

Все, що пов’язано з Постановою № 95 почали називати «банкопад 2.0». Але, перш ніж лякати своїх читачів, необхідно запитати думки у тих фахівців, які допоможуть банкам виконати всі вимоги Постанови №95.

Для того, щоб виконати вимоги НБУ з Постанови №95 банкам доведеться тісно співпрацювати з фахівцями в сфері кібербезпеки.

Компанія «ІТ Спеціаліст» має в своєму штаті кваліфікованих фахівців і всі необхідні інструменти, програми та обладнання для того, щоб допомогти банкам виконати всі вимоги Постанови №95.

Коротко розберемо вимоги Постанови №95 НБУ і що банкам необхідно зробити до моменту старту перевірок.

Вимоги, що містяться в Постанові, не є повністю оригінальною розробкою Національного банку України. Їх джерелом послужили Міжнародні стандарти ISO / IEC 27001, ISO / IEC 27002 та PCI DSS, а також ранні постанови НБУ, присвячені питанням інформаційної безпеки.

При цьому, 84 вимоги зі 138 відносяться до технологічних консультацій і мають на увазі або впровадження нових систем захисту, або переналаштування існуючих.

Що стосується впровадження нових засобів захисту, банкам необхідно вже зараз передбачити бюджет на їх закупівлю, розгортання і запуск.

Постанова Національного банку України (НБУ) №95 вимагає, щоб банки впровадили такі основні технічні системи:

  • виявлення атак;
  • моніторингу подій управління інцидентами;
  • контролю доступу до мережі;
  • захисту електронної пошти;
  • запобігання атак, спрямованих на відмову в обслуговуванні;
  • антивірусного захисту;
  • двофакторної аутентифікації.

Наступні 30 вимог зі 138 мають на увазі виконання організаційних змін або створення нових бізнес-процесів.

Так, наприклад, банк зобов’язаний сформувати керівній орган з інформаційної безпеки, в який необхідно включити вище керівництво банку. Також кожен банк, незалежно від його розміру, повинен мати підрозділ, що відповідає за інформаційну безпеку, і в його складі має бути не менше двох осіб.

Кожен український банк зобов’язаний регулярно проводити тестування на проникнення в критичні системи банку.

Остання група– 24 вимоги зі 138 – вимагають, щоб у банках були розроблені нормативні документи, що встановлюють правила для роботи персоналу.

Перерахуємо деякі аспекти, які повинні бути прописані в цих документах:

  • використання змінних носіїв інформації;
  • надання, скасування та контроль доступу до банківських інформаційних систем;
  • використання криптографії;
  • контроль змін на рівні мережі;
  • використання електронної пошти.

Для того, щоб впровадити ці 138 пунктів з Постанови №95, українському банку необхідно мати досвідчених фахівців у різних областях інформаційної безпеки.

Ці фахівці повинні мати великий досвід у побудові системи інформаційної безпеки, у проектуванні процесів, у впровадженні та експлуатації технічних систем захисту, а також у розробці нормативних документів. Не всім українським банкам вдається знайти, залучити й утримати фахівців високого рівня, які працюють у сфері кібербезпеки.

Часу до того, як НБУ почне перевіряти банки на предмет виконання Постанови №95 (березень 2018 року) дуже мало. Якщо банки підійдуть до реалізації вимог, викладених в Постанові НБУ №95, зі своїм стандартним підходом до

бюджетування проектів, то, швидше за все, вони не встигнуть виконати вчасно.

Для того, щоб виконати всі вимоги НБУ до березня 2018 року, необхідно негайно виділяти бюджет на створення кібербезпеки банку. Таке можливо тільки при тісній співпраці з компанією, що спеціалізується в сфері кібербезпеки.

Однією з таких компаній є наша компанія – «ІТ Спеціаліст».

Компанія «ІТ Спеціаліст» має багаторічний досвід побудови систем управління інформаційною безпекою.

У нашому штаті цілодобово працюють кваліфіковані фахівці, сертифіковані аудитори, інженери та білі хакери – це команда справжніх професіоналів!

Ми проведемо для вашого банку аудит, розробимо план виконання всіх вимог НБУ з Постанови №95 і допоможемо реалізувати його в найкоротші терміни.

Постанова НБУ №95 обновлено: Квітень 12, 2019 автором: Oleksandr Kubersky