• Главная
  • Новости
  • Діагностичний аудит системи управління інформаційною безпекою НБУ

Діагностичний аудит системи управління інформаційною безпекою НБУ

Національного банку України.

 

В грудні минулого року компанія ВЕРІТЕКС успішно провела діагностичний аудит існуючої в Національному Банку України системи управління  інформаційною безпекою (СУІБ).

 Ця робота стала продовженням плідної співпраці компанії ВЕРІТЕКС та Національного банку України, адже протягом 2011 року спільно з Університетом банківської справи НБУ та міжнародним концерном T?V Rheinland було успішно проведено 5 семінарів з питань СУІБ, в яких прийняло участь близько 400 фахівців банківського сектору України.

 

Головною метою проведеної перевірки СУІБ було встановлення об’єктивних доказів відповідності вимогам міжнародних стандартів:

? ISO/IEС 27001:2005 «Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги» та

? ISO/IEС 27002:2005 «Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою».

 

Проведена робота є логічним ланцюгом втілення політики інформаційної безпеки в банківській сфері країни і мотивована вимогами Базельського комітету Basel II з управління та зменшення операційних ризиків банків.

 

Нагадаємо, що Постановою від 28.10.2010 № 474 «Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України» Правління Національного банку України зобов’язало банківські установи впровадити системи управління інформаційною безпекою. З цією метою було впроваджено галузеві стандарти:

? СОУ Н НБУ 65.1 СУІБ 1.0:2010 «Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги» (ISO/IEС 27001:2005, MOD) та

?  СОУ Н НБУ 65.1 СУІБ 2.0:2010 «Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою» (ISO/IEС 27002:2005, MOD).

Документи є модифікованою версією вищенаведених міжнародних стандартів та враховують  вимоги  із захисту  інформації,  зумовлені  конкретними  потребами  сфери  банківської діяльності та нормативно – правовими актами Національного банку України.

 

Обсяг перевірки складав наступні основні елементи та розділи системи СУІБ:

  • Галузь розповсюдження та межі поширення СУІБ;
  • Управління бізнес-процесами СУІБ;
  • Аналіз та управління інфраструктурою і ресурсами;
  • Управління ризиками інформаційної безпеки;
  • Оцінка контролю доступу;
  • Управління інцидентами та безперервністю бізнесу та ін.

 

Діагностичний аудит виконувався  групами висококваліфікованих фахівців, які пройшли відповідне навчання в визнаних міжнародних та вітчизняних організаціях, що спеціалізуються на системах управління інформаційною безпекою;  фахівці мають сертифікати, які підтверджують їх кваліфікацію. Всі  фахівці, які залучені до проведення цієї роботи, мають також належний практичний досвід розробки, впровадження чи проведення діагностичних, передсертифікаційних, сертифікаційних або внутрішніх аудитів систем управління інформаційною безпекою в закордонних або вітчизняних організаціях.

 

Результатами проведення діагностичного аудиту стали деталізований звіт та програма робіт з удосконалення існуючої в структурах Національного банку України системи управління інформаційною безпекою.