Система управління інформаційною безпекою (СУІБ) для банків і компаній України

Сьогодні проведення аудиту СУІБ є необхідним і затребуваним заходом. Ряд організацій, бізнес яких тісно пов’язаний з використанням інформаційних технологій, наприклад, банки, нафтові, газові, енергетичні та телекомунікаційні компанії, стали активніше практикувати проведення аудиту СУІБ.

Аудит СУІБ може бути ініційований керівництвом банку (компанії) – внутрішній аудит СУІБ, контрагентами (наприклад, аудит СУІБ може бути вимогою клієнта або передбачений умовами Договору), а також третьою стороною – контролюючими органами (НБУ) – аудити, що здійснюються незалежними компаніями.

Зовнішній аудит СУІБ дозволяє отримати розуміння того, що в банку або компанії, які перевіряються, створена, впроваджена, контролюється і функціонує СУІБ, яка відповідає вимогам не тільки стандартам ISO, але і нормативним документам Національного банку України, інших контролюючих органів. Зовнішній аудит СУІБ дасть можливість оцінити якість СУІБ з таких питань:

– наскільки визначений та впроваджений комплекс засобів управліннями активами СУІБ, правильність оцінки ризиків,
– чи здійснюється оцінка ефективності, моніторинг та аналіз функціонування СУІБ,
– якість супроводу та вдосконалення.
Крім того, зовнішній аудит СУІБ надасть висновок, наскільки керівництво продемонструвало підтримку процесів і зусиль, пов’язаних з плануванням, впровадженням, експлуатацією, контролем, супроводом і модернізацією СУІБ відповідно до вимог стандартів і нормативних документів.

Нормативні документи та постанови НБУ

Правління Національного банку України прийняло постанову №474 від 28 жовтня 2010р. “Про набрання чинності стандартів з управління інформаційною безпекою в банківській системі Україні”

З дня публікації даної Постанови набирають чинності такі стандарти НБУ:

  • СОУ Н НБУ 65.1 СУІБ 1.0:2010 “Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги” (ISO / IEC 27001:2005, МОD);
  • СОУ Н НБУ 65.1 СУІБ 2.0:2010 “Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою” (ISO / IEC 27002:2005, МОD).
  1. Постанова від 28.09.2017р. №95 “Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України;
  2. Постанова від 28.03.2007р. №98 “Про схвалення Методичних рекомендацій щодо вдосконалення корпоративного управління в банках України”;
  3. Постанова від 08.09.2008р. №271 “Про схвалення Методичних рекомендацій щодо планування в банках України заходів на випадок виникнення непередбачених обставин”;
  4. Постанова від 04.07.2007р. №243 “Правила з технічного захисту інформації для приміщень банків, у яких обробляються  електронні банківські документи”;
  5. Постанова від 17.06.2004р. №265 “Про затвердження Положення про забезпечення безперервного функціонування інформаційних систем Національного банку України та банків України”;
  6. Постанова від 12.09.2006р. №357 “Про затвердження Положення про порядок  формування, зберігання та знищення електронних архівів у Національному банку України і банках України”;
  7. Постанова від 12.09.2006р. №601 “Про затвердження переліку документів, що утворюються в діяльності Національного банку України та банків України із зазначенням строків зберігання”;
  8. Постанова від 10.02.2016р. №63 “Про затвердження Правил з організації захисту приміщень банків в Україні”.


    Склад Серії ISO

    ISO / IEC 27001 до: 2013 Information security management systems.  Requirements – Система менеджменту інформаційної безпеки.  Вимоги. 
    ISO / IEC 27000 до: 2016 Information security management systems.  Overview and vocabulary – Система менеджменту інформаційної безпеки.  Огляд і термінологія.
    ISO / IEC 27002 до: 2013 Code of practice for information security management – Практичні правила щодо управління інформаційною безпекою.
    ISO / IEC 27003: 2010 Information Security Management Systems Implementation Guidance – Керівництво по впровадженню системи менеджменту інформаційної безпеки.
    ISO / IEC 27004: 2009 Information security management.  Measurement – Вимірювання ефективності системи менеджменту інформаційної безпеки.
    ISO / IEC 27005: 2011 Information security risk management – Управління ризиками інформаційної безпеки.
    ISO / IEC 27006 до: 2015 Requirements for bodies providing audit and certification of information security management systems – Вимоги до органів аудиту і сертифікації систем менеджменту інформаційної безпеки.
    ISO / IEC 27007: 2011 Guidelines for Information Security Management Systems auditing (FCD) – Керівництво для аудиту СМІБ.
    ISO / IEC 27008: 2011 Guidance for auditors on ISMS controls (DRAFT) – Керівництво по аудиту механізмів контролю СМІБ.
    ISO / IEC 27011: 2008 Information security management guidelines for telecommunications organizations based of  ISO/ IEC 27002 – Керівництво з управління інформаційною безпекою для телекомунікацій на основі ISO /IEC 27002.
    ISO / IEC 27799: 2008 Information security management in health using ISO / IEC 27002  – Керівництво з управління інформаційною безпекою для організацій охорони здоров’я на основі ISO / IEC 27002.

Switch The Language

    [rt_icon icon_name="icon-link-ext"] аудиторські послуги ДДО

    [rt_icon icon_name="icon-link-ext"] послуги бугалтерського обліку ДДО

    Адреса

    03038, Україна, м. Київ
    вул. Миколи Грінченка, 4

    Тел./факс

    +380 44 521-40-07

    Електронна пошта

    [email protected]