01.07.2020
Национальный банк Украины в 2017 году серьёзно занялся вопросом кибербезопасности украинских банков. Толчком к этому послужили масштабные хакерские атаки последних лет WannaCry и Petya.Not. 
В результате произошло следующее событие. Национальный банк Украины (НБУ) принял Постановление №95 от 28.09.2017г., которое было официально опубликовано 04.10.2017г. Постановление разработано с целью усовершенствования требований к защите информации в информационных системах банков с учётом актуальных киберугроз.
Это постановление состоит из требований, которые необходимо внедрить для обеспечения информационной безопасности и киберзащиты банков. Требования НБУ, изложенные в Постановлении №95, - это комплексный набор рекомендаций по обеспечению информационной безопасности в банках.
Многие банки Украины уже прошли сертификацию по международному стандарту безопасности PCI DSS. Это значит, что им не составит большого труда выполнить все требования из Постановления №95. 
В этой статье мы поговорим на тему того, какая связь между Постановлением НБУ №95 и Международным стандартом безопасности PCI DSS. Эта связь не случайна, так как требования НБУ и требования стандарта PCI DSS нацелены на защиту и сохранение информации.
Эксперты, чья деятельность связана с информационной безопасностью банков, знают, что сотрудники НБУ за последние несколько лет разработали десятки, а может быть и сотни требований. Все они посвящены осуществлению и внедрению банками информационной безопасности (кибербезопасности).
Напомним, что в 2010 году Национальный банк Украины даже выпустил свои собственные Стандарты по информационной безопасности, которые называются СОУ Н НБУ 65.1 СУІБ 1. 0:2010 и СОУ Н НБУ 65.1 СУІБ 2. 0:2010. 
В Постановлении №95 Национальный банк Украины (НБУ) использовал все свои лучшие требования, которые были ранее разработаны и опубликованы. Кроме того, Постановление НБУ №95 содержит в себе многие формулировки, основанные на международном стандарте по информационной безопасности ISO/IEC 27001 версии 2013 года.
По сути, разработчики Постановления НБУ №95 взяли за основу требования стандарта ISO/IEC 27001. Только требования для Постановления №95 сделали боле конкретными, точными и адаптировали под особенности украинских банков. 
Давайте вспомним историю создания стандарта PCI DSS.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) – это совокупность требований по обеспечению безопасности данных о держателях платёжных карт, которые хранятся, передаются и обрабатываются в информационных инфраструктурах организаций. Стандарт разработан по инициативе VISA, MasterCard и других компаний.
Основная цель стандарта PCI DSS – это обеспечение безопасности сетевой инфраструктуры и защита хранимых данных о держателях платёжных карт, так как это самые уязвимые места, напрямую угрожающие потере конфиденциальности и денежных средств.
Стандарт PCI DSS создавался путём адаптации требований ISO/IEC 27001 к особенностям технологий хранения и обработки данных платёжных карт.
Если внимательно присмотреться, становится понятно, что стандарт безопасности ISO/IEC 27001 говорит о том, что рекомендовано сделать, а как это сделать каждая компания решает самостоятельно. В отличие от ISO/IEC 27001, стандарт PCI DSS говорит конкретно: что необходимо защищать и каким способом осуществлять эту защиту, а главное - инструктирует и подсказывает, как осуществить проверку того, что требования стандарта PCI DSS выполнены.
Вот простой пример:● В стандарте ISO/IEC 27001 содержится рекомендация проанализировать все данные, с которыми имеет дело компания, определить самостоятельно, какие из них являются критичными, и самостоятельно выработать для них механизм защиты.● В стандарте PCI DSS это же требование выражено намного короче – компания обязана шифровать хранящиеся у неё данные платёжных карт.
У Постановления НБУ №95 и у стандарта PCI DSS похожий путь развития – адаптация требований стандарта ISO/IEC 27001 для своих целей.
Наши ключевые специалисты в сфере информационной безопасности провели детальный анализ Постановления НБУ №95. Они выявили, что более 60% требований Постановления №95 соответствуют аналогичным требованиям стандарта PCI DSS. 
Остальные 40% требований Постановления НБУ №95 имеют оригинальное авторство Национального банка Украины (НБУ) и посвящены таким аспектам, как:● Порядок использования алгоритмов шифрования;● Организация работы с центром сертификации ключей;● Выстраивание структуры иерархии ответственности за кибербезопасность внутри банка.
Мы выяснили, в чём схожесть Постановления НБУ №95 со стандартом PCI DSS. Это означает, что все украинские банки, прошедшие сертификацию по стандарту PCI DSS, автоматически выполняют больше половины требований НБУ.
Давайте рассмотрим несколько примеров:● Требование №37 из Постановления НБУ №95 обязует банк обеспечить выполнение принципа предоставления минимального уровня полномочий пользователям в информационных системах банка.● Если открыть стандарт PCI DSS на требовании 7.1.2, мы увидим практически ту же формулировку - ограничить доступ привилегированных пользователей до минимально необходимого уровня, который требуется для выполнения служебных обязанностей.
Из сказанного выше следует, что если в банке уже выстроена система информационной безопасности и пройдена сертификация по стандарту PCI DSS, то для такого банка нет необходимости вкладывать большие средства в выполнение всех требований НБУ, изложенных в Постановлении №95. 
Достаточно немного модифицировать внутренние нормативные документы и, возможно, дополнительно настроить уже внедрённые системы. Это можно сделать в очень сжатые сроки, буквально за несколько недель.
Таким образом, те банки, которые уже сертифицированы по стандарту PCI DSS, имеют огромное преимущество перед банками, которые не проходили данную сертификацию.
После публикации Постановления НБУ №95 многие интернет-порталы начали пугать своих читателей очередным кризисом в банковской сфере. Этой устрашающей новости присвоили название «Банкопад 2.0». Всем банкам, прошедшим сертификацию PCI DSS, проще выполнить требования НБУ. Это значит, что им не грозит никакой «Банкопад 2.0».
Многие украинские банки так и не прошли сертификацию по стандарту PCI DSS. Таким банкам лучше пройти данную сертификацию, и тем самым, делая одно действие, получить двойную выгоду. 
Выполняя требования стандарта PCI DSS, банк автоматически выполняет более 60% требований НБУ, содержащихся в Постановлении №95. Мы уже говорили об этом выше, а сейчас просто повторяем эту важную информацию для всех представителей банковской отрасли.
Сертификация по стандарту PCI DSS - это отправная точка, из которой начинается построение современной и надёжной информационной защиты банка!
Что делать представителям банков, которые не проходили сертификацию по стандарту PCI DSS?
Наши специалисты по кибербезопасности рекомендуют сделать четыре простых шага:1) Пройти экспресс-аудит информационной безопасности банка.2) Составить план необходимых регламентных работ и провести расчёт бюджета на создание системы информационной защиты банка.3) Пройти сертификацию по стандарту PCI DSS.4) Выполнить остальные требования из Постановления НБУ №95.
Наша компания IT Specialist поможет вашему банку выстроить индивидуальную систему кибербезопасности, а также пройти сертификацию по стандарту PCI DSS. 
Благодаря нашему сотрудничеству, ваш банк выполнит все требования Постановления НБУ №95 в самые сжатые сроки.