Регулятор і банки разом працюють над розбудовою системи управління інформаційною безпекою в банківській системі України

Так уже відбулося перше засідання учасників робочої групи з питань системи управління інформаційною безпекою в банківській системі України (далі – СУІБ).

“Ми впроваджуємо новий формат спілкування з банками та пропонуємо кожному, хто зацікавлений у побудові якісної та дієвої СУІБ у банках, брати безпосередню участь у формуванні подальшої стратегії її розвитку, базуючись на власному практичному досвіді”, – зауважив директор Департаменту інформаційної безпеки Національного банку Дмитро Лук’янов.

За його словами,  учасникам робочої групи було запропоновано взяти активну участь в обранні прийнятного формату роботи, актуальних напрямів, а також у вирішенні організаційних питань. “Ми не бажаємо йти шляхом нав’язування шаблонів, а хочемо запропонувати банкірам-практикам самим виробити “правильний тон” змін у подальшому розвитку СУІБ в банківській системі України”, – сказав Дмитро Лук’янов та додав, що з цією метою серед членів робочої групи незабаром буде проведено опитування щодо їх бачення переліку основних актуальних тематик для подальшого опрацювання в робочій групі з питань СУІБ.

Заступник директора Департаменту інформаційної безпеки Сергій Іванишин зазначив, що, на його думку, для стратегічного розвитку СУІБ у банківській системі України необхідно оцінити стан її зрілості: “Ми маємо нагоду сьогодні в рамках робочої групи разом визначити необхідні параметри для методики самооцінки СУІБ і підійти до оцінки її зрілості в банківській системі України”. Він запропонував учасникам засідання провести “самооцінку зрілості СУІБ” і побачити реальний стан функціонування процесів інформаційної безпеки, оскільки це дає змогу приймати виважені рішення щодо подальшого вдосконалення СУІБ у кожному окремому банку та системних рішень для забезпечення розвитку в банківській системі України.

Зокрема під час зустрічі було вирішено здійснити аналіз доцільності застосування нової версії стандарту ISO/IEC 27002:2013 (наразі працює ISO 27002:2005) з огляду на його можливі переваги для банків. Учасники спробують детально вивчити питання переходу на стандарт  ISO 27002:2013 та оцінити необхідність розширення стандарту та впровадження суміжних стандартів, необхідність впровадження цілком або деяких положень чи методик (наприклад оцінка ступеня зрілості процесів CobIT) та окреслити найоптимальніший поетапний план такого переходу для українських банків.

Крім того, на засіданні робочої групи вирішили, що необхідно здійснити аналіз міжнародних стандартів з питань інформаційної безпеки щодо можливості та доцільності їх застосування в банківській системі України, а також наявних підходів до перевірок СУІБ з боку Національного банку України, як інструменту для отримання інформації про реальний стан СУІБ у банках України.

Додаткову інформацію щодо діяльності робочої групи з питань СУІБ можна отримати у представника Департаменту інформаційної безпеки Національного банку України Тетяни Самсонюк за телефоном (044) 527-32-91 або електронною поштою Tetiana.Samsoniuk@bank.gov.ua.