Письмо Национального банка Украины от 3 марта 2011 года № 24-112/365
| Департамент информатизации | Банкам Украины |
Департамент информатизации во исполнение пункта 2 постановления Правления Национального банка Украины от 28.10.2010 № 474 «О вступлении в силу стандартов по управлению информационной безопасностью в банковской системе Украины» разработал и направляет для работы Методические рекомендации по внедрению системы управления информационной безопасностью и методики оценки рисков в соответствии с стандартами Национального банка Украины.
Приложение: файл metod_r.rtf.
| Директор Департамента информатизации | |
УТВЕРЖДЕНО
В. о. заместителя Председателя
Рычаковская В. И.
______________
01.03.2011
Рекомендации
по внедрению системы управления информационной безопасностью и методики оценки рисков в соответствии со стандартами Национального банка Украины
1. Введение
Система управления информационной безопасностью является современным процессом обеспечения безопасности информационных ресурсов организации, которая построена на лучших мировых практиках. Стандарты Национального банка Украины основанные на международных стандартах ISO 27001 и ISO 27002 с добавлением требований по защите информации, обусловленных конкретными потребностями сферы банковской деятельности и правовыми требованиями, которые уже выдвинуты в нормативных документах Национального банка Украины.
Соответствие системы управления информационной безопасностью стандартам Национального банка Украины СОУ Н НБУ 65.1 СУИБ 1.0:2010 и СОУ Н НБУ 65.1 СУИБ 2.0:2010 гарантирует банку соответствие международным стандартам ISO 27001 и ISO 27002 и предоставляет возможность получить соответствующий сертификат.
Необходимость внедрения в банках Украины стандартов по управлению информационной безопасностью продиктована требованиями Базельского комитета Basel II по управлению и уменьшения операционных рисков банков.
Внедрение в банках Украины стандартов по управлению информационной безопасностью позволит:
• оптимизировать стоимость построения и поддержания системы информационной безопасности;
• постоянно отслеживать и оценивать риски с учетом целей бизнеса;
• эффективно выявлять наиболее критичные риски и снижать вероятность их реализации;
• разработать эффективную политику информационной безопасности и обеспечить ее качественное выполнение;
• эффективно разрабатывать, внедрять и тестировать планы восстановления бизнеса;
• обеспечить понимание вопросов информационной безопасности руководством и всеми работниками банка;
• обеспечить повышение репутации и рыночной привлекательности банков;
• снизить риски рейдерских и других вредных для банка атак;
• подобное.
Следует отметить, что приведенные выше преимущества не будут достигнуты путем лишь «формального» подхода к разработке, внедрению, функционированию системы управления информационной безопасностью и незаинтересованности руководства и сотрудников банка в повышении уровня информационной безопасности.
2. Общие положения
