Information Security Management System (ISMS) for banks and companies of Ukraine

Общее
Сегодня проведение аудита СУИБ является необходимым и востребованным мероприятием. Ряд организаций, бизнес которых тесно связан с использованием информационных технологий, например, банки, нефтяные, газовые, энергетические и телекоммуникационные компании, стали активнее практиковать проведение аудита СУИБ.

Аудит СУИБ может быть инициализирован руководством банка (компании), (внутренний аудит СУИБ), контрагентами (например, аудит СУИБ может быть требованиям клиента или пунктом в Договоре), а также третьей стороной – контролирующими органами (НБУ) (аудиты проводимы независимыми компаниями).

Внешний аудит СУИБ позволяет получить понимание того, что в проверяемом банке или компании создана, внедрена, контролируется и функционирует СУИБ, отвечающая требованиям не только стандартам ISO, но и нормативным документам национального банка Украины, других контролирующих органов. Внешний Аудит СУИБ даст  возможность оценить качество СУИБ по таким вопросам:

– определён и внедрен комплекс средств управлениями активами СУИБ, правильность оценки рисков,
– осуществляется оценка эффективности, мониторинг и анализ функционирования СУИБ,
– сопровождение и совершенствование.
Кроме того, внешний аудит СУИБ  даст заключение на сколько руководство продемонстрировало поддержку процессов и усилий, связанных с планированием. внедрением, эксплуатацией, контролем, сопровождением и модернизацией СУИБ  в соответствии с требованиями стандартов и нормативных документов

Нормативные документы и постановления НБУ

Правление Национального банка Украини приняло Постановление № 474 от 28 октября 2010 г. “Про набрання чинності стандартів з управління інформаційною безпекою в банківській системі Україні”

Со дня публикации данного Постановления вступают в силу следующие стандарты НБУ:

• СОУ Н НБУ 65.1 СУІБ 1.0:2010 “Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги “(ISO / IEC 27001:2005, МОD);
• СОУ Н НБУ 65.1 СУІБ 2.0:2010 “Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою “(ISO / IEC 27002:2005, МОD).

1. Постанова № 95 від 28.09.2017р. Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України;
2. Постанова 03.2007 № 98  Про схвалення Методичних рекомендацій щодо вдосконалення корпоративного управління в банках України;
3. Постанова 08.09.2008 N 271. Про схвалення Методичних рекомендацій щодо планування в банках України заходів на випадок виникнення непередбачених обставин;
4. Постанова 07.2007 N 243. Правила з технічного захисту інформації для приміщень банків, у яких обробляються  електронні банківські документи;
5. Постанова 17.06.2004 № 265. Про затвердження Положення про забезпечення безперервного функціонування інформаційних систем національного банку України та банків України;
6. Постанова№329 Положення про порядок формування, зберігання та знищення електронних архівів у НБУ і банках України;
7. Постанова 09.2006 N 357. Про затвердження Положення про порядок  формування, зберігання та знищення електронних архівів у Національному банку України і банках України;
8. Постанова № 601 від 12.09.2006р. Про затвердження Положення про порядок формування, зберігання та знищення електронних архівів у Національному банку України і банках України;
9. Постанова 02.2016  № 63. Про затвердження Правил з організації захисту приміщень банків в Україні;

   
   Состав Серии ISO

   ISO / IEC 27001 до: 2013 Information security management systems.  Requirements- Система менеджменту інформаційною безпекою.  Вимоги. 
   ISO / IEC 27000 до: 2016 Information security management systems.  Overview and vocabulary – Система менеджменту інформаційної безпеки.  Огляд і термінологія.
   ISO / IEC 27002 до: 2013 Code of practice for information security management – Практичні правила щодо управління інформаційною безпекою.
   ISO / IEC 27003: 2010 Information Security Management Systems Implementation Guidance – Керівництво по впровадженню системи менеджменту інформаційною безпекою.
   ISO / IEC 27004: 2009 Information security management.  Measurement – Вимірювання ефективності системи менеджменту інформаційною безпекою.
   ISO / IEC 27005: 2011 Information security risk management – Управління ризиками інформаційної безпеки.
   ISO / IEC 27006 до: 2015 Requirements for bodies providing audit and certification of information security management systems – Вимоги до органів аудиту і сертифікації систем менеджменту інформаційною безпекою.
   ISO / IEC 27007: 2011 Guidelines for Information Security Management Systems auditing (FCD) – Керівництво для аудиту СМІБ.
   ISO / IEC 27008: 2011 Guidance for auditors on ISMS controls (DRAFT) – Керівництво по аудиту механізмів контролю СМІБ.
   ISO / IEC 27011: 2008 Information security management guidelines for telecommunications organizations based of  ISO/ IEC 27002 – Керівництво з управління інформаційною безпекою для телекомунікацій на основі ISO /IEC 27002.
   ISO / IEC 27799: 2008 Information security management in health using ISO / IEC 27002  – Керівництво з управління інформаційною безпекою для організацій охорони здоров’я на основі ISO / IEC 27002.