01.07.2020
Національний банк України у 2017 році серйозно зайнявся питанням кібербезпеки українських банків. Поштовхом до цього стали масштабні хакерські атаки останніх років WannaCry і Petya.Not.
У результаті сталася така подія. Національний банк України (НБУ) ухвалив Постанову №95 від 28.09.2017р., яку було офіційно опубліковано 04.10.2017р. Постанова розроблена з метою удосконалення вимог щодо захисту інформації в інформаційних системах банків із урахуванням актуальних кіберзагроз.
 Ця постанова складається з вимог, які необхідно запровадити для забезпечення інформаційної безпеки та кіберзахисту банків. Вимоги НБУ, викладені у Постанові №95, – це комплексний набір рекомендацій щодо забезпечення інформаційної безпеки у банках.
 Багато банків України вже пройшли сертифікацію за міжнародним стандартом безпеки PCI DSS. Це означає, що їм не важко буде виконати всі вимоги з Постанови №95.
 У цій статті ми поговоримо на тему того, який зв'язок між Постановою НБУ №95 та Міжнародним стандартом безпеки PCI DSS. Цей зв'язок не випадковий, оскільки вимоги НБУ та вимоги стандарту PCI DSS націлені на захист та збереження інформації.
Експерти, діяльність яких пов'язана з інформаційною безпекою банків, знають, що співробітники НБУ за останні кілька років розробили десятки, а може й сотні вимог. Усі вони присвячені здійсненню та впровадженню банками інформаційної безпеки (кібербезпеки).
Нагадаємо, що у 2010 році Національний банк України навіть випустив свої власні Стандарти з інформаційної безпеки, які називаються СОУ Н НБУ 65.1 СУІБ 1. 0:2010 та СОУ Н НБУ 65.1 СУІБ 2. 0:2010.
У Постанові №95 Національний банк України (НБУ) використав усі свої найкращі вимоги, які були раніше розроблені та опубліковані. Крім того, Постанова НБУ №95 містить багато формулювань, заснованих на міжнародному стандарті з інформаційної безпеки ISO/IEC 27001 версії 2013 року.
По суті, розробники Постанови НБУ №95 взяли за основу вимоги стандарту ISO/IEC 27001. Тільки вимоги до Постанови №95 зробили більш конкретними, точними та адаптували під особливості українських банків.
Згадаймо історію створення стандарту PCI DSS.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) – це сукупність вимог щодо безпеки даних про власників платіжних карток, які зберігаються, передаються та обробляються в інформаційних інфраструктурах організацій. Стандарт розроблений з ініціативи VISA, MasterCard та інших компаній.
Основна мета стандарту PCI DSS – це забезпечення безпеки мережевої інфраструктури та захист збережених даних про власників платіжних карток, оскільки це найвразливіші місця, що безпосередньо загрожують втраті конфіденційності та грошових коштів.
Стандарт PCI DSS створювався шляхом адаптації вимог ISO/IEC 27001 до особливостей технологій зберігання та обробки даних платіжних карток.
Якщо уважно придивитися, стає зрозуміло, що стандарт безпеки ISO/IEC 27001 говорить про те, що рекомендовано зробити, а як це зробити, кожна компанія вирішує самостійно.
На відміну від ISO/IEC 27001 стандарт PCI DSS говорить конкретно: що необхідно захищати та яким чином здійснювати цей захист, а головне - інструктує та підказує, як здійснити перевірку того, що вимоги стандарту PCI DSS виконані.
Ось простий приклад:
● Стандарт ISO/IEC 27001 містить рекомендацію проаналізувати всі дані, з якими має справу компанія, визначити самостійно, які з них є критичними, і самостійно виробити для них механізм захисту.● У стандарті PCI DSS ця ж вимога виражена набагато коротше – компанія зобов'язана шифрувати дані платіжних карток, що зберігаються в неї.
У Постанови НБУ №95 та стандарту PCI DSS схожий шлях розвитку – адаптація вимог стандарту ISO/IEC 27001 для своїх цілей.
Наші ключові спеціалісти у сфері інформаційної безпеки провели детальний аналіз Постанови НБУ №95. Вони виявили, що понад 60% вимог Постанови №95 відповідають аналогічним вимогам стандарту PCI DSS.
Інші 40% вимог Постанови НБУ №95 мають оригінальне авторство Національного банку України (НБУ) та присвячені таким аспектам, як:● Порядок використання алгоритмів шифрування;● Організація роботи з центром сертифікації ключів;● Вибудовування структури ієрархії відповідальності за кібербезпеку всередині банку.
Ми з'ясували, у чому схожість Постанови НБУ №95 зі стандартом PCI DSS. Це означає, що всі українські банки, які пройшли сертифікацію за стандартом PCI DSS, автоматично виконують понад половину вимог НБУ.
Давайте розглянемо кілька прикладів:● Вимога №37 із Постанови НБУ №95 зобов'язує банк забезпечити виконання принципу надання мінімального рівня повноважень користувачам в інформаційних системах банку.● Якщо відкрити стандарт PCI DSS на вимозі 7.1.2, ми побачимо практично те саме формулювання – обмежити доступ привілейованих користувачів до мінімально необхідного рівня, який потрібний для виконання службових обов'язків.
Зі сказаного вище випливає, що якщо в банку вже збудовано систему інформаційної безпеки та пройдено сертифікацію за стандартом PCI DSS, то для такого банку немає необхідності вкладати великі кошти у виконання всіх вимог НБУ, викладених у Постанові №95.
Достатньо трохи модифікувати внутрішні нормативні документи і, можливо, додатково налаштувати вже впроваджені системи. Це можна зробити в дуже стислий термін, буквально за кілька тижнів.
Таким чином, ті банки, які вже сертифіковані за стандартом PCI DSS, мають величезну перевагу перед банками, які не проходили цієї сертифікації.
Після публікації Постанови НБУ №95 багато інтернет-порталів почали лякати своїх читачів черговою кризою у банківській сфері. Цій жахливій новині надали назву «Банкопад 2.0». Усім банкам, які пройшли сертифікацію PCI DSS, простіше виконати вимоги НБУ. Це означає, що їм не загрожує жоден "Банкопад 2.0".
Багато українських банків так і не пройшли сертифікацію за стандартом PCI DSS. Таким банкам краще пройти цю сертифікацію, і цим, роблячи одну дію, отримати подвійну вигоду.
Виконуючи вимоги стандарту PCI DSS, банк автоматично виконує понад 60% вимог НБУ, які містяться у Постанові №95. Ми вже говорили про це вище, а зараз просто повторюємо цю важливу інформацію всім представникам банківської галузі.
Сертифікація за стандартом PCI DSS - це відправна точка, з якої починається побудова сучасного та надійного інформаційного захисту банку!
Що робити представникам банків, які не проходили сертифікацію за стандартом PCI DSS?
Наші фахівці з кібербезпеки рекомендують зробити чотири простих кроки:1) Пройти експрес-аудит інформаційної безпеки банку.2) Скласти план необхідних регламентних робіт та провести розрахунок бюджету на створення системи інформаційного захисту банку.3) Пройти сертифікацію за стандартом PCI DSS.4) Виконати решту вимог із Постанови НБУ №95.
Наша компанія IT Specialist допоможе вашому банку збудувати індивідуальну систему кібербезпеки, а також пройти сертифікацію за стандартом PCI DSS.
Завдяки нашій співпраці ваш банк виконає всі вимоги Постанови НБУ №95 у найстисліші терміни.