Система управления информационной безопасностью (СУИБ) для банков и компаний Украины

Общее
Сегодня проведение аудита СУИБ является необходимым и востребованным мероприятием. Ряд организаций, бизнес которых тесно связан с использованием информационных технологий, например, банки, нефтяные, газовые, энергетические и телекоммуникационные компании, стали активнее практиковать проведение аудита СУИБ.

Аудит СУИБ может быть инициирован руководством банка (компании) – внутренний аудит СУИБ, контрагентами (например, проведение аудита СУИБ может быть требованием клиента или оговорен условиями Договора), а также третьей стороной – контролирующими органами (НБУ) – аудиты, проводимые независимыми компаниями.

Внешний аудит СУИБ позволяет получить понимание того, что в банке или компании создана, внедрена, контролируется и функционирует СУИБ, отвечающая требованиям не только стандартам ISO, но и нормативным документам Национального банка Украины, других контролирующих органов. Внешний аудит СУИБ даст возможность оценить качество СУИБ по таким вопросам:

– насколько определён и внедрен комплекс средств управлениями активами СУИБ, правильность оценки рисков,
– осуществляется ли оценка эффективности, мониторинг и анализ функционирования СУИБ,
– качество сопровождения и совершенствования.
Кроме того, внешний аудит СУИБ  даст заключение, насколько руководство продемонстрировало поддержку процессов и усилий, связанных с планированием, внедрением, эксплуатацией, контролем, сопровождением и модернизацией СУИБ в соответствии с требованиями стандартов и нормативных документов.

Нормативные документы и постановления НБУ

Правление Национального банка Украины приняло Постановление от 28.09.2017г. №95 “Об утверждении Положения об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины.

Со дня публикации данного Постановления вступают в силу следующие стандарты НБУ:

  • ДСТУ ISO/IEC 27000:2015 “Інформаційні технології. Методи захисту. Система управління інформаційною безпекою.
  • ДСТУ ISO/IEC 27001:2015 “Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою.
  • ДСТУ ISO/IEC 27002:2015 «Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки
    1. Постановление НБУ от 28.09.2017г. №95 “Об утверждении Положения об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины”;
    2. Постановление НБУ от 04.07.2007г. №243 “Правила технической защиты информации для помещений банков, в которых обрабатываются электронные банковские документы”;
    3. Постановление НБУ от 17.06.2004г. №265 “Об утверждении Положения об обеспечении непрерывного функционирования информационных систем Национального банка Украины и банков Украины”;
    4. Постановление НБУ,№ 267 від 14.07.2006  с дополнением Постанова № 124 від 04.12.2017. Про затвердження Правил зберігання, захисту, використання та розкриття банківської таємниці
    5. Постановление НБУ от 12.09.2006г. №357 “Об утверждении Положения о порядке формирования, хранения и уничтожения электронных архивов в Национальном банке Украины и банках Украины”;
    6. Постановление НБУ № 829 от 26.11.2015.  «Про затвердження нормативно-правових актів з питань інформаційної безпеки»
    7. Постановление НБУ № 867 від 29.12.2014р ”  «Про затвердження Положення про організацію внутрішнього контролю в банках України»


    Состав
     Серии ISO

    ISO / IEC 27001 до: 2013 Information security management systems.  Requirements – Система менеджмента информационной безопасности. Требования.
    ISO / IEC 27000 до: 2016 Information security management systems.  Overview and vocabulary – Система менеджмента информационной безопасности. Обзор и терминология.
    ISO / IEC 27002 до: 2013 Code of practice for information security management – Практические правила по управлению информационной безопасностью.
    ISO / IEC 27003: 2014 Information Security Management Systems Implementation Guidance – Руководство по внедрению системы менеджмента информационной безопасности.
    ISO / IEC 27004: 2014 Information security management.  Measurement – Измерение эффективности системы менеджмента информационной безопасности.
    ISO / IEC 27005: 2014 Information security risk management – Управление рисками информационной безопасности.

    ДСТУ ISO/IEC 27005:2015 Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки

    аудиторские услуги ДДО

    услуги бухгалтерского учета ДДО

    Адрес

    03038, Украина, г. Киев
    ул. Николая Гринченко, 4

    Тел./факс

    +380 44 521-40-07

    Электронная почта

    info@activ-audit.com.ua