Банкіри та регулятор продовжують розпочатий діалог щодо формування зваженого підходу до управління інформаційною безпекою в банківській системі України.

Так  у Національному банку України 08 жовтня 2015 року відбулося друге засідання робочої групи з питань системи управління інформаційною безпекою (далі – СУІБ). Участь у заході взяло майже 50 представників банків України, Національного банку України та банківських асоціацій.

Відкриваючи друге засідання робочої групи Директор Департаменту інформаційної безпеки Національного банку України Дмитро Лук’янов зазначив: “Збільшення кількості учасників у робочій групі та їх безпосередня участь в опрацюванні питань підтверджує той факт, що такий діалог – це реальний крок на шляху створення передумов для єдиного розуміння цілей і задач інформаційної безпеки та їх подальшої реалізації в банківській системі України».

Під час другого засідання робочої групи розглядалися результати спільної роботи фахівців з інформаційної безпеки банків щодо напрямків СУІБ, визначених на попередньому засіданні робочої групи. Зокрема, були презентовані та обговорені напрацьовані матеріали щодо:

• доцільності та переваг переходу до застосування нової версії лінійки стандартів ISO/IEC 2700*:2013.
• підвищення якості та інформативності результатів перевірки реального стану інформаційної безпеки в банках України;
• основних принципів подальшого функціонування робочої групи з питань СУІБ;
• визначення актуальних напрямків роботи з питань СУІБ.

Стосовно першого питання учасники зібрання зазначили, що перехід до застосування в Україні не модифікованих міжнародних стандартів у галузі інформаційної безпеки для банківських установ має значні переваги та сприятиме забезпеченню відповідності державній політиці в області стандартизації, гармонізації вимог в галузі інформаційної безпеки за світовими стандартами, зменшенню розбіжностей в трактуваннях та зменшення часу реакції банківської системи на зміни в стандартах ISO/IEC. У цьому контексті було акцентовано увагу на необхідності узгодження міжвідомчих інтересів із гармонізації нової версії міжнародних стандартів. Ураховуючи це, робоча група прийняла рішення про необхідність розроблення документу, що міститиме перелік вимог до банків України щодо запровадження міжнародного стандарту ISO 27001:2013.

Відносно другого питання учасники надали 66 пропозицій до існуючої методики перевірки СУІБ, 20 з яких було підтримано для використання. Крім цього, з метою удосконалення внутрішнього контролю, забезпечення якості СУІБ в банках України, робоча група вирішила розробити методику самооцінки його стану у банках України.

Щодо третього питання було розглянуто та підтримано основні цілі та базові принципи функціонування, порядок роботи робочої групи з питань СУІБ.

Також учасники засідання робочої групи розглянули підготовлені матеріали щодо визначення актуальних напрямків подальшої роботи з питань СУІБ. За результатами обговорення було підтримано необхідність розпочати роботу за двома новими напрямками:

• вироблення рекомендацій щодо вдосконалення системи оцінки ризиків інформаційної безпеки;
• формування переліку змін до діючих нормативно-правових або методологічних документів з питань інформаційної безпеки у разі виявлення наявних недоліків, колізій або протиріч.

Дата наступного засідання робочої групи буде визначена за результатами опрацювання поставлених завдань та повідомлена окремо.