14 травня 2015 року відбулося засідання круглого столу на тему “Стандарти Національного банку України з управління інформаційною безпекою в банківській системі України. Аналіз поточного стану та функціонування СУІБ”.

Національний банк України організував захід для працівників банків, які відповідають за розроблення, упровадження та функціонування системи управління інформаційною безпекою (далі – СУІБ). Мета зустрічі – обговорення досвіду впровадження та забезпечення функціонування СУІБ з фахівцями, які безпосередньо відповідають за цей напрям у банках, та налагодження діалогу між регулятором та банками України для  формування комплексних заходів для подальшого розвитку СУІБ у банківській системі України.

“Наше завдання – надати поштовх банкам у формуванні зваженого підходу до управління їх інформаційною безпекою, що забезпечить підвищення якості та дієвості банківської системи загалом”, – наголосив заступник Голови Національного банку України Яків Смолій, відкриваючи засідання круглого столу.

Він висловив переконання, що організація таких дискусійних майданчиків – це не тільки обмін досвідом між банками, а й отримання зворотного зв’язку від банків щодо застосування на практиці стандартів Національного банку України.

Директор Департаменту інформаційної безпеки Національного банку України Дмитро Лук’янов відзначив: “Ми з Вами розуміємо, що інформаційна безпека є основою життєдіяльності будь-якого банку та впливає на досягнення показників рентабельності, підтримки конкурентоспроможності та ділової репутації. Тому забезпечення її належного рівня сьогодні не можливе без підтримки та участі в цьому процесі топ-менеджменту”. Керівники банків повинні усвідомлювати, що застосування інформаційних технологій є одним з важливих факторів, що визначає конкурентоспроможність банку в сучасних умовах, однак  разом з такими перевагами, як підвищення швидкості та якості обслуговування клієнтів, доступності банківських послуг, зниження витрат, під час використання інформаційних технологій виникають і нові суттєві ризики.  І наслідком недооцінки таких ризиків може бути масштабний системний збій, навіть  зупинка операційної діяльності банку та відповідно великі фінансові втрати.

Дмитро Лук’янов також висловив думку стосовно індикаторів, що мають безперечний вплив на стан СУІБ у банках. Він зазначив, що сьогодні до функцій Департаменту інформаційної безпеки  віднесена участь у перевірках банків України з питань стану впровадження СУІБ та передбачені заходи впливу щодо тих банків, які не виконують установлених вимог і призводять до зниження рівня інформаційної безпеки й збільшення ризиків як складової частини операційних ризиків банку.

Крім того, під час засідання круглого столу учасники обговорили питання про можливі та необхідні індикатори для топ-менеджменту банку, які сприятимуть подальшому розвитку та підвищенню якості (зрілості) СУІБ в українських банках, що неможливе за відсутності виваженого підходу до прийняття управлінських ІТ-рішень та того, що СУІБ – це свідоме управління ІТ-ризиками і важлива складова загальної системи управління банком.

З метою подальшого розвитку СУІБ у банківській системі України та її ефективної розбудови під час дискусії було досягнуто домовленостей щодо створення робочої групи для оперативного опрацювання відповідних ініціатив/проектів документів тощо, до участі в якій будуть запрошені представники регулятора, банків України, банківських асоціацій (союзів) та інші учасники – експерти з питань СУІБ.

Водночас регулятор має активізувати роботу щодо аналізу нормативно-правових актів з питань СУІБ щодо їх доцільності та актуальності з метою оновлення діючих або розроблення нових нормативно-правових актів, у тому числі з питань удосконалення методів оцінки ризиків інформаційної безпеки, проведення стрес-тестування СУІБ, розроблення критеріїв якості/зрілості СУІБ та проведення рейтингування банків за показниками якості/зрілості СУІБ, упровадження стандартів ISO 27000-27011 (діючих редакцій) тощо.

Також було вирішено спрямувати зусилля на проведення роз’яснювальної роботи з керівництвом банків України з питань СУІБ для підвищення рівня свідомого управління ризиками інформаційної безпеки.

Крім того, йшлося про можливість реалізації спільного між регулятором і банками проекту “Безпечний інформаційний простір”, що дасть змогу побудувати загальну культуру інформаційної безпеки в Україні і неодмінно сприятиме підвищенню рівня обізнаності в питаннях інформаційної безпеки всіх учасників фінансової системи.

Усі присутні відзначили актуальність проведення оперативного діалогу між регулятором та банками в такому форматі, а також висловили сподівання на продовження оперативного обміну думками для формування підходів до подальшого розвитку СУІБ у банківській системі України.