Постанова НБУ №95

Як попередити банкопад 2.0?

Кібербезпека стала дуже актуальною і потрібною в Україні! Така сьогоднішня реальність, яка виникла в результаті масштабних хакерських атак.

 

2017 рік став переломним і дуже складним для банківської системи України. Навесні багато банків були заражені глобальним вірусом-шифрувальником WannaCry, який вражає комп'ютери з операційною системою Microsoft Windows. Ця шкідлива програма масово виводила з ладу робочі місця касирів, менеджерів, операціоністів та інших банківських службовців.

 

Здавалося, що після цього випадку всі, хто постраждав повинні були прийняти серйозні заходи для підвищення захищеності банківських систем і мереж. Але реальність показала наступне: 27 червня в 10.00 вірус Petya.А вразив 70% банківської інфраструктури України.

 

Це призвело до того, що деякі ключові банки кілька годин не могли проводити платежі. Цього разу постраждали не тільки робочі місця банківських службовців, а й, що дуже небезпечно, сервери і бази даних.

 

Навіть через місяць після закінчення атаки вірусу Petya.А деякі банки продовжували відновлювати порушені бізнес-процеси та втрачені дані.

 

Після цієї масштабної хакерської атаки, яка сильно вразила громадськість, Національний банк України (НБУ), як регулятор банківської системи, почав розробляти заходи, які б дозволили в майбутньому запобігти подібним ексцесам.

 

Результатом цієї роботи стало прийняття Постанови №95 Національного банку України (НБУ) від 28.09.2017, яку було офіційно опубліковано 04.10.2017г.

Ця Постанова розроблена з метою удосконалення вимог до захисту інформації в інформаційних системах банків з урахуванням актуальних кіберзагроз.

 

Постанова складається з вимог, які необхідно впровадити для забезпечення інформаційної безпеки і кіберзахисту банків.

 

Більш детально Постанову №95 можна вивчити на сайті Національного банку України (НБУ), пройшовши за цим посиланням:

 

https://bank.gov.ua/document/download?docId=56426049

 

Постанова № 95 складається зі 150 пунктів, які описують принципи, підходи та вимоги до інформаційної безпеки. Кожен український банк повинен дотримуватися всіх вимог, викладених в цій Постанові.

 

Всього 12 пунктів з Постанови №95 містять загальний опис підходів і за своєю суттю не являються вимогами.

 

Решта 138 пунктів - це перелік вимог, які будуть перевірятися Національним банком України вже з першого березня 2018 року.

 

Як тільки було опубліковано Постанову НБУ №95, цю новину журналісти і оглядачі описали як катастрофу, що насувається на банківську галузь.

Виникли питання?

 

 

Зв'яжітся з нами для консультації

Все, що пов'язано з Постановою № 95 почали називати «банкопад 2.0». Але, перш ніж лякати своїх читачів, необхідно запитати думки у тих фахівців, які допоможуть банкам виконати всі вимоги Постанови №95.

Для того щоб виконати вимоги НБУ з Постанови №95 банкам доведеться тісно співпрацювати з фахівцями в сфері кібербезпеки.

Компанія «ІТ Спеціаліст» має в своєму штаті кваліфікованих фахівців і всі необхідні інструменти, програми та обладнання для того, щоб допомогти банкам виконати всі вимоги Постанови №95.

Коротко розберемо вимоги Постанови №95 НБУ, і що банкам необхідно зробити до моменту старту перевірок.

Вимоги, що містяться в Постанові, не є повністю оригінальною розробкою Національного банку України. Джерелом цих вимог послужили Міжнародні стандарти ISO / IEC 27001, ISO / IEC 27002 та PCI DSS, а також ранні постанови НБУ, присвячені питанням інформаційної безпеки.

При цьому, 84 вимоги з 138 відносяться до технологічних консультацій і мають на увазі або впровадження нових систем захисту, або переналаштування існуючих.

Що стосується впровадження нових засобів захисту, банкам необхідно вже зараз передбачити бюджет на їх закупівлю, розгортання і запуск.

Постанова Національного банку України (НБУ) №95 вимагає, щоб банки впровадили такі основні технічні системи:

  • виявлення атак;
  • моніторингу подій управління інцидентами;
  • контролю доступу до мережі;
  • захисту електронної пошти;
  • запобігання атак, спрямованих на відмову в обслуговуванні;
  • антивірусного захисту;
  • двофакторної автентифікації.

Наступні 30 вимог з 138 мають на увазі виконання організаційних змін або створення нових бізнес-процесів.

Так, наприклад, банк зобов'язаний сформувати керівній орган з інформаційної безпеки, в який необхідно включити вище керівництво банку. Також кожен банк, в незалежності від його розміру, повинен мати підрозділ, що відповідає за інформаційну безпеку, і в його складі має бути не менше двох осіб.

Кожен український банк зобов'язаний регулярно проводити тестування на проникнення в критичні системи банку.

Остання група– 24 вимоги з 138 – вимагають, щоб в банках були розроблені нормативні документи, що встановлюють правила для роботи персоналу.

Перерахуємо деякі аспекти, які повинні буті прописані в цих документах:

  • використання змінних носіїв інформації;
  • надання, скасування та контроль доступу до банківських інформаційних систем;
  • використання криптографії;
  • контроль змін на рівні мережі;
  • використання електронної пошти.

Для того щоб впровадити ці 138 пунктів з Постанови №95, українському банку необхідно мати досвідчених фахівців в самих різних областях інформаційної безпеки.

У цих фахівців повинен бути великий досвід в побудові системи інформаційної безпеки, в проектуванні процесів, у впровадженні та експлуатації технічних систем захисту, а також в розробці нормативних документів. Не всім українським банкам вдається знайти, залучити й утримати фахівців високого рівня, які працюють в сфері кібербезпеки.

Часу до того, як НБУ почне перевіряти банки на предмет виконання Постанови №95 (березень 2018 року), дуже мало. Якщо банки підійдуть до реалізації вимог, викладених в Постанові НБУ №95 зі своїм стандартним підходом до

бюджетування проектів, то, швидше за все, вони не встигнуть виконати все в строк.

Для того щоб виконати всі вимоги НБУ до березня 2018 року, необхідно негайно виділяти бюджет на створення кібербезпеки банку. Таке можливо тільки при тісній співпраці з компанією, що спеціалізується в сфері кібербезпеки.

Однією з таких компаній є наша компанія - «ІТ Спеціаліст».

Компанія «ІТ Спеціаліст» має багаторічний досвід побудови систем управління інформаційною безпекою.

У нашому штаті цілодобово працюють кваліфіковані фахівці, сертифіковані аудитори, інженери і білі хакери - це команда справжніх професіоналів!

Ми проведемо для вашого банку аудит, розробимо план виконання всіх вимог НБУ з Постанови №95 і допоможемо реалізувати його в найкоротші терміни.

Постанова НБУ №95 обновлено: Жовтень 12, 2018 автором: Oleksandr Kubersky