Система управления информационной безопасностью (СУИБ) для банков и компаний Украины


Сегодня проведение аудита СУИБ является необходимым и востребованным мероприятием. Ряд организаций, бизнес которых тесно связан с использованием информационных технологий, например, банки, нефтяные, газовые, энергетические и телекоммуникационные компании, стали активнее практиковать проведение аудита СУИБ.

Аудит СУИБ может быть инициирован руководством банка (компании) – внутренний аудит СУИБ, контрагентами (например, проведение аудита СУИБ может быть требованием клиента или оговорен условиями Договора), а также третьей стороной – контролирующими органами (НБУ) – аудиты, проводимые независимыми компаниями.

Внешний аудит СУИБ позволяет получить понимание того, что в банке или компании создана, внедрена, контролируется и функционирует СУИБ, отвечающая требованиям не только стандартам ISO, но и нормативным документам Национального банка Украины, других контролирующих органов. Внешний аудит СУИБ даст возможность оценить качество СУИБ по таким вопросам:

– насколько определён и внедрен комплекс средств управлениями активами СУИБ, правильность оценки рисков,
– осуществляется ли оценка эффективности, мониторинг и анализ функционирования СУИБ,
– качество сопровождения и совершенствования.
Кроме того, внешний аудит СУИБ  даст заключение, насколько руководство продемонстрировало поддержку процессов и усилий, связанных с планированием, внедрением, эксплуатацией, контролем, сопровождением и модернизацией СУИБ в соответствии с требованиями стандартов и нормативных документов.

Нормативные документы и постановления НБУ

Правление Национального банка Украины приняло Постановление №474 от 28 октября 2010г. “О вступлении в силу стандартов по управлению информационной безопасностью в банковской системе Украины”

Со дня публикации данного Постановления вступают в силу следующие стандарты НБУ:

  • ДСТУ ISO/IEC 27000:2015 “Інформаційні технології. Методи захисту. Система управління інформаційною безпекою.

  • ДСТУ ISO/IEC 27001:2015 “Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. 

  • ДСТУ ISO/IEC 27005:2015 Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки.
  1. Постановление от 28.09.2017г. №95 “Об утверждении Положения об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины”;
  2. Постановление от 28.03.2007г. №98 “Об одобрении Методических рекомендаций по совершенствованию корпоративного управления в банках Украины”;
  3. Постановление от 08.09.2008г. №271 “Об одобрении Методических рекомендаций по планированию в банках Украины мероприятий на случай возникновения непредвиденных обстоятельств”;
  4. Постановление от 04.07.2007г. №243 “Правила технической защиты информации для помещений банков, в которых обрабатываются электронные банковские документы”;
  5. Постановление от 17.06.2004г. №265 “Об утверждении Положения об обеспечении непрерывного функционирования информационных систем Национального банка Украины и банков Украины”;
  6. Постановление от 12.09.2006г. №357 “Об утверждении Положения о порядке формирования, хранения и уничтожения электронных архивов в Национальном банке Украины и банках Украины”;
  7. Постановление от 12.09.2006г. №601 “Об утверждении Перечня документов, образующихся в деятельности Национального банка Украины и банков Украины, с указанием сроков хранения”;
  8. Постановление от 10.02.2016г. №63 “Об утверждении Правил по организации защиты помещений банков в Украине”.


    Состав
    Серии ISO

    ISO / IEC 27001 до: 2013 Information security management systems.  Requirements – Система менеджмента информационной безопасности. Требования. 
    ISO / IEC 27000 до: 2016 Information security management systems.  Overview and vocabulary – Система менеджмента информационной безопасности. Обзор и терминология.
    ISO / IEC 27002 до: 2013 Code of practice for information security management – Практические правила по управлению информационной безопасностью.
    ISO / IEC 27003: 2010 Information Security Management Systems Implementation Guidance – Руководство по внедрению системы менеджмента информационной безопасности.
    ISO / IEC 27004: 2009 Information security management.  Measurement – Измерение эффективности системы менеджмента информационной безопасности.
    ISO / IEC 27005: 2011 Information security risk management – Управление рисками информационной безопасности.
    ISO / IEC 27006 до: 2015 Requirements for bodies providing audit and certification of information security management systems – Требования к органам аудита и сертификации систем менеджмента информационной безопасности.
    ISO / IEC 27007: 2011 Guidelines for Information Security Management Systems auditing (FCD) – Руководство для аудита СМИБ.
    ISO / IEC 27008: 2011 Guidance for auditors on ISMS controls (DRAFT) – Руководство по аудиту механизмов контроля СМИБ.
    ISO / IEC 27011: 2008 Information security management guidelines for telecommunications organizations based of  ISO/ IEC 27002 – Руководство по управлению информационной безопасностью для телекоммуникаций на основе ISO /IEC 27002.
    ISO / IEC 27799: 2008 Information security management in health using ISO / IEC 27002  – Руководство по управлению информационной безопасностью для организаций здравоохранения на основе ISO / IEC 27002.

    аудиторские услуги ДДО

    услуги бухгалтерского учета ДДО

    Адрес

    03038, Украина, г. Киев
    ул. Николая Гринченко, 4

    Тел./факс

    +380 44 521-40-07

    Электронная почта

    info@activ-audit.com.ua