Національний банк України

Департамент інформатизації

 

    ЛИСТ 3.03.2011 N 24-112/365 Банкам України

 

 

Департамент інформатизації на виконання пункту 2 постанови

Правління Національного банку України від 28.10.2010 N 474

(v0474500-10) "Про набрання чинності стандартами з управління

інформаційною безпекою в банківській системі України" розробив і

надсилає для роботи Методичні рекомендації щодо впровадження

системи управління інформаційною безпекою та методики оцінки

ризиків відповідно до стандартів Національного банку України.

 

 Директор Департаменту

 інформатизації                                  А.С.Савченко

 

 

                                 ЗАТВЕРДЖЕНО

                                 В.о. заступника Голови

                                 Ричаківська В.І.

                                 _____________

                                 01.03.2011

 

 

                 МЕТОДИЧНІ РЕКОМЕНДАЦІЇ

          щодо впровадження системи управління

           інформаційною безпекою та методики

        оцінки ризиків відповідно до стандартів

              Національного банку України

 

 

                        1. Вступ

 

Система управління інформаційною безпекою є сучасним процесом

забезпечення безпеки інформаційних ресурсів організації, яка

побудована на кращих світових практиках. Стандарти Національного

банку України основані на міжнародних стандартах ISO 27001 та ISO

27002 з додаванням вимог із захисту інформації, зумовлених

конкретними потребами сфери банківської діяльності і правовими

вимогами, які вже висунуто в нормативних документах Національного

банку України.

    

Відповідність системи управління інформаційною безпекою

стандартам Національного банку України СОУ Н НБУ 65.1 СУІБ

1.0:2010 та СОУ Н НБУ 65.1 СУІБ 2.0:2010 гарантує банку

Відповідність міжнародним стандартам ISO 27001 та ISO 27002 і

Надає можливість отримати відповідний сертифікат.

    

Необхідність впровадження в банках України стандартів з

управління інформаційною безпекою продиктована вимогами

Базельського комітету Basel II з управління та зменшення

операційних ризиків банків.

    

Впровадження в банках України стандартів з управління

інформаційною безпекою дозволить:

- оптимізувати вартість побудови та підтримання системи

інформаційної безпеки;

- постійно відслідковувати та оцінювати ризики з урахуванням

цілей бізнесу;

- ефективно виявляти найбільш критичні ризики та знижати

ймовірність їх реалізації;

- розробити ефективну політику інформаційної безпеки та

забезпечити її якісне виконання;

- ефективно розробляти, впроваджувати та тестувати плани

відновлення бізнесу;

- забезпечити розуміння питань інформаційної безпеки

керівництвом та всіма працівниками банку;

- забезпечити підвищення репутації та ринкової привабливості

банків;

- знизити ризики рейдерських та інших шкідливих для банку

атак;

- тощо.

    

Слід зазначити, що наведені вище переваги не будуть досягнуті

шляхом лише "формального" підходу до розроблення, впровадження,

функціонування системи управління інформаційною безпекою та

незацікавленості керівництва і працівників банку в підвищенні

рівня інформаційної безпеки.

 

                     

Загальні положення

 

Ці Методичні рекомендації щодо впровадження системи

управління інформаційною безпекою розроблені на основі

міжнародного стандарту ISO/IEC 27003:2010 "Information

technology - Security techniques - Information security management

system implementation guidance" (Настанова з впровадження системи

управління інформаційною безпекою) з урахуванням особливостей

банківської діяльності, стандартів та вимог Національного банку

України з питань інформаційної безпеки.

Впровадження стандартів з питань управління інформаційною

безпекою не може бути разовою акцією. Це фактично є безперервним

процесом розроблення, впровадження, функціонування, моніторингу,

перегляду, підтримування та вдосконалення системи управління

інформаційною безпекою (СУІБ). Для процесів СУІБ застосована

модель ПВПД (плануй - виконуй - перевіряй - дій), наведена у

вступі до стандарту СОУ Н НБУ 65.1 СУІБ 1.0:2010.

Зрозуміло, що для проведення цих робіт потрібні ресурси, у

тому числі наявність фахівців з питань інформаційної безпеки,

наявність з боку керівництва банку повної підтримки та контролю, а

також розуміння проблем, що виникають.

Система інформаційної безпеки повинна забезпечити безпечність

та надійність функціонування бізнес-процесів / банківських

продуктів банку. Впровадження та функціонування СУІБ стосується

всіх підрозділів банку і, у першу чергу, керівників підрозділів -

власників бізнес-процесів / банківських продуктів. Тому ці

відповідальні особи повинні брати участь у вирішенні питань, що

належать до сфери їх відповідальності, під час упровадження та

функціонування СУІБ.

Цілі СУІБ та заходи безпеки, що вже існують і ті, що будуть

додатково впроваджені в разі необхідності, а також відповідна

документація, що описує функціонування СУІБ, повинні бути

зрозумілими для всіх, кого це стосується. Тому обов'язковою умовою

успішного функціонування СУІБ є також проведення відповідних

навчань з питань інформаційної безпеки.

 

           3. Підготовка до впровадження СУІБ

 

             3.1. Зобов'язання керівництва

         щодо управління інформаційною безпекою

 

Відповідно до розділу 5 стандарту СОУ Н НБУ 65.1 СУІБ

1.0:2010 та пункту 6.1.1 стандарту СОУ Н НБУ 65.1 СУІБ 2.0:2010

керівництво банку повинно забезпечити визначення завдань

інформаційної безпеки, їх відповідність вимогам законодавства

України, нормативно-правових актів Національного банку України та

банку, інтегрованість у відповідні бізнес-процеси/банківські

продукти, переглядати ефективність впровадження та функціонування

СУІБ, надавати ресурси, які потрібні для інформаційної безпеки та

навчання персоналу з питань інформаційної безпеки.

Для вирішення цих завдань необхідно визначити організаційну

структуру управління інформаційною безпекою, повноваження та

відповідальність щодо розроблення, впровадження та функціонування

СУІБ.

Керівництво СУІБ може здійснювати керівник банку або його

заступник, або існуючий керівний орган, наприклад, рада з питань

інформатизації з обов'язковим включенням до складу спеціалістів з

питань інформаційної безпеки. В залежності від розміру банку ці

обов'язки можуть бути покладені на створений спеціальний керівний

орган з питань інформаційної безпеки з керівників підрозділів,

відповідальних за критичні бізнес-процеси та банківські продукти.

Формування такого керівного органу тільки з фахівців з питань

інформаційної безпеки є недоцільним, оскільки в такому випадку

питання інформаційної безпеки будуть за межами уваги керівників,

відповідальних за критичні бізнес-процеси, або питання

інформаційної безпеки будуть вирішуватися окремо для кожного

бізнес-процесу, що створить додаткові умови для несанкціонованого

доступу до інформації та порушення конфіденційності, а також

призведуть до додаткових фінансових витрат. У разі необхідності до

роботи з окремих питань в цьому керівному органі можуть долучатися

зовнішні спеціалісти з питань  інформаційної безпеки за умови

підписання угоди про конфіденційність.

Відповідно до пункту 6.1.2 стандарту СОУ Н НБУ 65.1 СУІБ

2.0:2010 діяльність щодо інформаційної безпеки повинна бути

узгоджена між представниками різних підрозділів банку, які

відповідають та забезпечують функціонування критичних

бізнес-процесів / банківських продуктів. Банки мають створювати

єдину систему інформаційної безпеки для всіх бізнес-процесів та

координувати дії різних підрозділів для забезпечення виконання

загальних вимог щодо інформаційної безпеки. Для виконання цих

обов'язків може бути створена окрема група з перехресними

функціями з фахівців різних підрозділів. Якщо банк не створює

окрему групу з перехресними функціями, то ці обов'язки повинні

виконуватися спеціальним керівним органом або окремим керівником.

Зазвичай, координація інформаційної безпеки повинна

стосуватися співробітництва і координації спільної діяльності

менеджерів, користувачів, адміністраторів, розробників прикладних

програм, аудиторів і персоналу безпеки, а також фахівців у таких

галузях, як страхування, правові питання, людські ресурси,

управління ІТ або ризиками.

 

          3.2. Призначення відповідальних осіб

         за впровадження та функціонування СУІБ

 

Для забезпечення впровадження, функціонування СУІБ та

контролю за функціонуванням СУІБ наказом має бути призначений

керівник СУІБ відповідно до рекомендацій пункту 3.1, а саме

керівник банку або його заступник, який відповідає за питання

інформаційної безпеки та в оперативному підпорядкуванні якого

знаходиться підрозділ інформаційної безпеки. Керівник СУІБ повинен

мати повноваження долучати до впровадження та функціонування СУІБ

усіх потрібних фахівців і в першу чергу керівників підрозділів -

власників бізнес-процесів / банківських продуктів.

Заступником керівника СУІБ може бути призначений керівник

підрозділу, який відповідає за інформаційну безпеку в банку.

У наказі рекомендується зазначити, що керівники підрозділів -

власників бізнес-процесів / банківських продуктів мають сприяти

впровадженню і функціонуванню СУІБ та своєчасно надавати необхідну

інформацію керівникові СУІБ або його заступнику.

 

  3.3. Визначення вимог з інформаційної безпеки банку

Для впровадження та подальшого вдосконалення СУІБ необхідно

чітко визначити вимоги з інформаційної безпеки банку.

Джерелами вимог з інформаційної безпеки є:

- закони України;

- нормативно-правові акти Національного банку України;

- вимоги платіжних систем та систем переказу коштів;

- внутрішні нормативні документи банку;

- умови угод та договорів з третіми сторонами тощо.

Слід звернути увагу на те, що вимоги з інформаційної безпеки

для платіжних систем та систем переказів коштів висуваються

платіжною організацією платіжної системи та системи переказу

коштів, тому вони можуть відрізнятися від вимог Національного

банку України (крім Системи електронних платежів (СЕП) та

Національної системи масових електронних платежів (НСМЕП),

платіжними організаціями яких є Національний банк України). Однак,

облік коштів повинен здійснюватися в системах автоматизації банку

відповідно до вимог нормативно-правових актів Національного банку

України.

Особливу увагу слід звернути на умови угод та договорів з

третіми сторонами. Відповідно до пункту 6.2 стандарту СОУ Н НБУ

65.1 СУІБ 2.0:2010 безпека інформації та засобів оброблення

інформації банку не повинна знижуватися через уведення в

експлуатацію продуктів або послуг зовнішньої сторони. Якщо є

бізнес-потреба в роботі із зовнішніми сторонами, яка може вимагати

доступу до інформації або засобів оброблення інформації банку, або

в отриманні від зовнішньої сторони чи наданні їй продукту та

послуги, тоді банк повинен виконувати оцінку ризику для визначення

вимог щодо заходів безпеки та наслідків порушення безпеки. Заходи

безпеки повинні бути погоджені та визначені в угоді із зовнішньою

стороною. Ці питання повинні розглядатися не тільки для договорів

про надання послуг клієнтам банку (системи типу "клієнт-банк",

інтернет-банкінг, мобільний банкінг тощо), а також при отриманні

послуг зовнішніх сторін (розробка та супроводження програмного

забезпечення, придбання та технічне обслуговування обладнання,

надання послуг зв'язку тощо).

Аналіз вимог з наведених вище джерел допоможе правильно

визначити цілі СУІБ та заходи безпеки, які можуть забезпечити

зменшення ризиків операційної діяльності банку з урахуванням

особливостей роботи банку.

Перелік вимог з інформаційної безпеки повинен бути

задокументованим та затвердженим керівництвом банку.

 

      

 

 4. Опис існуючої інфраструктури та заходів безпеки

 

              4.1. Класифікація інформації

 

Відповідно до Закону України "Про інформацію" (2657-12) вся

інформація з обмеженим доступом повинна бути надійно захищена.

Відповідно до законів України "Про захист інформації в

інформаційно-телекомунікаційних системах" (80/94-ВР), "Про банки

і банківську діяльність" (2121-14), "Про захист персональних

даних" (2297-17) у банках можна визначити такі категорії

інформації з обмеженим доступом:

- банківська таємниця;

- комерційна таємниця;

- персональні дані;

- інша конфіденційна інформація.

Банк має створити максимально докладний та зрозумілий перелік

відомостей, які відносяться до інформації з обмеженим доступом. У

цьому переліку повинні бути описані види інформації, які

відносяться до кожної з категорій інформації з обмеженим доступом,

що надасть можливість полегшити працівнику банку визначення

відношення певної інформації до відповідної категорії.

Відповідно до Правил зберігання, захисту, використання та

розкриття банківської таємниці, затверджених постановою Правління

Національного банку України від 14.07.2006 N 267 (z0935-06),

зареєстрованих в Міністерстві юстиції України 03.08.2006 за

N 935/12809, працівники банку під час прийому на роботу повинні

власноруч підписувати зобов'язання щодо збереження банківської

таємниці. Ці зобов'язання банк може поширити на всі категорії

інформації з обмеженим доступом.

Банк зобов'язаний у внутрішніх положеннях встановити

спеціальний порядок поводження та ведення діловодства з

документами, що містять інформацію з обмеженим доступом, зокрема

визначити порядок підготовки і реєстрації вихідних документів,

роботи з документами, відправлення та зберігання документів, а

також особливості роботи з електронними документами, які містять

інформацію з обмеженим доступом, зокрема з урахуванням вимог, що

викладені в наведеному вище нормативно-правовому акті

Національного банку України.

Особливу увагу слід звернути на маркування документів з

обмеженим доступом. Скорочені позначки грифу інформації з

обмеженим доступом повинні бути загально відомими, наприклад,

банківська таємниця - БТ, комерційна таємниця - КТ тощо. Не

рекомендується використовувати інші літери для скорочених позначок

грифу інформації, які не пов'язані із повною назвою грифу та не є

інтуїтивно зрозумілими.