Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Стратегія інформаційної безпеки банку

безпека банку

28.10.2017
Стратегія – це певний напрямок розвитку чи план дій. Коли справа стосується інформаційної безпеки (кібербезпеки), неможливо уникнути розробки стратегії, це просто необхідність. По суті розробка стратегії – це відправна точка у створенні сучасної структури інформаційної безпеки для банку.
Постанова Національного банку України (НБУ) №95 від 28.09.2017 висуває понад сто вимог банкам щодо забезпечення інформаційної безпеки, при цьому встановлює жорсткі терміни для їх виконання. Одним із найскладніших для розуміння та реалізації є пункт №20, який описує необхідність розробки в банку стратегії розвитку інформаційної безпеки (кібербезпеки).
Чому Національний банк України (НБУ) приділяє питанню стратегії стільки уваги? Адже жоден нормативний документ від НБУ до виходу Постанови №95 не містив вимог щодо стратегічного підходу?
Донедавна більшість українських банків чудово функціонували не лише без стратегії інформаційної безпеки, а й без будь-якого стратегічного розвитку свого бізнесу загалом. Можливо, так тривало б ще довго, якби такі банки не постраждали від дуже «нешкідливих» вірусів WannaCry і Petya.Not. Причому так званий вірус Petya був настільки «нешкідливим», що вразив близько 70% банківської інфраструктури України.
Досвід останніх років показав, що відсутність позитивного стратегічного плану призводить до того, що інформаційна безпека фінансується в останню чергу.
Унаслідок такого підходу у багатьох банків система інформаційної безпеки будувалася залишковим методом. Коли за мінімального фінансування фахівці служби безпеки займалися лише латанням дірок та підтримкою поточної операційної діяльності інфраструктури банку.
Багато банків навіть не проходили сертифікації за міжнародними стандартами безпеки ISO/IEC 27001 та PCI DSS.
Украй важливо, щоб керівники банків усвідомлювали, що без планування діяльності щодо забезпечення інформаційної безпеки хоча б на три роки вперед, усі проекти з інформаційного захисту (кіберзахисту) банку швидко втрачають актуальність.
Це відбувається з тієї причини, що кошти, що виділяються, витрачаються не ефективно, і загальний рівень захищеності банку від кіберзагроз не тільки не підвищується, а іноді й знижується.
Дуже важливо провести ретельний, детальний аналіз бізнес-процесів банку, наявних активів, актуальних загроз та планів розвитку бізнесу для того, щоб сформувати чітке бачення системи управління інформаційною безпекою та того, як вона має розвиватися.
Які розділи повинна включати стратегія розвитку інформаційної безпеки?
Кожна стратегія складається з трьох основних розділів:1) Аналіз поточного стану інформаційної безпеки, так званий as-is.2) Цільова модель інформаційної безпеки "to-be".3) План заходів щодо переходу до цільової моделі інформаційної безпеки.
Аналіз поточного стану інформаційної безпеки повинен базуватися на результатах зовнішнього або внутрішнього аудиту. При цьому обов'язково аналізуються такі аспекти:• Управління персоналом та організація діяльності банку.• Бізнес-процеси та підходи до забезпечення інформаційної безпеки.• Безпека ІТ-систем та технологій.
Цільова модель інформаційної безпеки визначає такі ключові питання:• Роль та місія інформаційної безпеки в банку.• Цілі розвитку інформаційної безпеки в п'ятирічній перспективі.• Ключові напрями розвитку інформаційної безпеки та їхня декомпозиція.• Цільовий рівень зрілості процесів інформаційної безпеки.
У плані заходів щодо переходу до цільової моделі інформаційної безпеки стратегія має визначати:• Основні пріоритети розвитку системи управління інформаційною безпекою.• Дорожню карту проектів.• Детальний опис кожного проекту, включаючи його бюджет, цілі та вимоги до результату.
Основною вигодою банку від отриманої стратегії розвитку інформаційної безпеки є наявність плану проектів.
Завдяки цьому плану проектів виникає можливість ефективного керування витратами на інформаційну безпеку. Керівництво банку отримує чітке розуміння того, як удосконалюватиметься система захисту інформації. Це дасть впевненість у готовності банку протистояти будь-яким атакам та зовнішнім загрозам.Важливо зважати на той факт, що Постанова НБУ №95 офіційно опублікована 04.10.2017 року, а впровадити, виконати та реалізувати всі пункти цієї постанови банки зобов'язані до 01.03.2018. Часу залишилося не дуже багато, і щоб встигнути вчасно, представникам банків необхідно вжити таких дій.
По-перше, не марнувати час, а якнайшвидше взятися за виконання та впровадження всіх пунктів Постанови НБУ № 95.
По-друге, особливу увагу приділити стратегії розвитку інформаційної безпеки.
По-третє, для вирішення всіх поточних завдань користуватися послугами кваліфікованих спеціалістів у сфері інформаційної безпеки.
Компанія «ІТ Спеціаліст» виконує роботи з розробки стратегій інформаційної безпеки банків та має в штаті сертифікованих аудиторів, кваліфікованих інженерів та професійних консультантів, які допоможуть створити високоефективний план розвитку та реалізувати його в найкоротші терміни. Крім цього, ми допоможемо банкам виконати решту вимог із Постанови НБУ №95.
Наша компанія – ваш надійний партнер у формуванні стратегії інформаційної безпеки банку.

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124