Ліга страхових організацій України

До уваги страхових організацій!

5 жовтня 2017 року Верховна Рада України прийняла Закон «Про основні засади забезпечення кібербезпеки України».

Цей Закон визначає правові та організаційні основи забезпечення захисту життєво важливих інтересів громадян, суспільства та держави, національних інтересів України у кіберпросторі, основні цілі, напрями та принципи державної політики у сфері кібербезпеки, повноваження державних органів, підприємств, установ, організацій, осіб та громадян у цій сфері, основні засади координації їхньої діяльності із забезпечення кібербезпеки.

Закон визначає, що об’єктами кіберзахисту є:

1) комунікаційні системи всіх форм власності, в яких обробляються національні інформаційні ресурси та/або які використовуються в інтересах органів державної влади, органів місцевого самоврядування, правоохоронних органів та військових формувань, утворених відповідно до закону;

2) об’єкти критичної інформаційної інфраструктури;

3) комунікаційні системи, які використовуються для задоволення суспільних потреб та/або реалізації правовідносин у сферах електронного урядування, електронних державних послуг, електронної комерції, електронного документообігу.

Забезпечення кібербезпеки покладається на міністерства та інші центральні органи виконавчої влади; органи місцевого самоврядування; правоохоронні, розвідувальні і контррозвідувальні органи, суб’єктів оперативно-розшукової діяльності; Збройні Сили України; Національний банк України; підприємства, установи та організації, віднесені до об’єктів критичної інфраструктури; суб’єктів господарювання і громадян, які надають послуги, пов’язані з національними інформаційними ресурсами, інформаційними електронними послугами, здійсненням електронних правочинів, електронними комунікаціями, захистом інформації та кіберзахистом.

До об’єктів критичної інфраструктури зокрема можуть бути віднесені установи та організації незалежно від форми власності, які провадять діяльність та надають послуги у банківському та фінансовому секторі.

Критерії та порядок віднесення об’єктів до об’єктів критичної інфраструктури, перелік таких об’єктів, загальні вимоги до їх кіберзахисту, у тому числі щодо застосування індикаторів кіберзагроз, та вимоги до проведення незалежного аудиту інформаційної безпеки затверджуються Кабінетом Міністрів України, а в банківській системі України – Національним банком України.

«Попередній аналіз закону свідчить про те, що до страхових організацій може бути встановлено обов’язкові вимоги щодо організації заходів інформаційної безпеки та проведення її аудиту. Крім цього, законопроектом щодо консолідації функцій із державного регулювання ринків фінансових послуг № 2413а, який було прийнято Верховною Радою України у першому читанні за основу, передбачається передання Національному банку України повноважень Національної комісії, що здійснює державне регулювання у сфері ринків фінансових послуг, які пов’язані зі здійсненням страхової діяльності. Оскільки Національний банк України є одним з суб’єктів, які безпосередньо здійснюють заходи із забезпечення кібербезпеки, а до суб’єктів господарювання мають застосовуватись однакові принципи і підходи до регулювання діяльності, то у разі такої консолідації страховим організаціям необхідно буде виконувати вимоги, встановлені Національним банком України до банків. Тому страховим організаціям варто звернути увагу на нормативно-правові акти, що приймаються Національним банком України у сфері інформаційної безпеки», – вважає віце-президент ЛСОУ Сергій Тарасов.

Так, Правління Національного банку України 28 вересня 2017 року прийняло Постанову № 95, якою затвердило Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України.

Згідно з повідомленням Національного банку України, документ прийнято з метою удосконалення вимог до захисту інформації в інформаційних системах банків з урахуванням актуальних кіберзагроз. Постанова визначає принципи забезпечення та управління інформаційною безпекою, які базуються на нових, уведених в дію з 1 січня 2017 року, національних стандартах України з питань інформаційної безпеки, та принципах забезпечення інформаційної безпеки і кіберзахисту, що притаманні міжнародній практиці.

Постановою визначено обов’язкові вимоги щодо організації заходів інформаційної безпеки, які поетапно мають впроваджуватися банками:

1-й етап (основний – впровадження базових заходів інформаційної безпеки) – до 01 березня 2018 року,

2-й етап (впровадження додаткових заходів – для підвищення рівня зрілості інформаційної безпеки) – до 01 вересня 2019 року.

Зокрема вказані заходи безпеки інформації включають в себе: захист від зловмисного коду, заходи безпеки при використанні електронної пошти, контроль доступу до інформаційних систем банку, заходи безпеки в мережі банку, криптографічний захист інформації тощо.

Також Постановою визначається поняття критичних бізнес-процесів банку з точки зору інформаційної безпеки та сфера застосування банками системи управління інформаційною безпекою.

Крім того, відповідно до провідного світового досвіду з питань інформаційної безпеки, документ передбачає призначення в банках відповідальної особи за інформаційну безпеку (Chief Information Security Officer, CISO) та наділення її повноваженнями, достатніми для прийняття управлінських рішень. Також банки повинні сформувати окремі підрозділи з інформаційної безпеки виключно зі штатних працівників банку, які безпосередньо підпорядковуються CISO.

Імплементація норм Постанови дасть можливість:

–          посилити вимоги до захисту інформації в інформаційних системах банків з урахуванням актуальних кіберзагроз;

–          визначити принципи управління інформаційною безпекою в банках;

–          визначити принципи криптографічного захисту інформаційних систем Національного банку України;

–          установити обов’язкові мінімальні вимоги щодо організації заходів із забезпечення безпеки інформації;

–          установити вимоги до інформаційних систем банків, що взаємодіють з інформаційними системами Національного банку України.

Постанова набирає чинності з 01 березня 2018 року, крім розділу V “Додаткові заходи безпеки інформації”, вимоги якого наберуть чинності з 01 вересня 2019 року.

За результатами дослідження, проведеного компанією  Hartford Steam Boiler Inspection and Insurance Company (HSB), у 2017 році понад 50 % компаній у США стали жертвами кібератак. В Україні внаслідок кібератаки, що сталася 27 червня, постраждало близько 30 банківських установ.

Як зазначається у піврічному звіті Cisco 2017 з кібербезпеки, все більше операцій в ключових галузях переводиться в режим online, що розширює горизонт атак, збільшує їх масштаби і посилює наслідки. Так звані атаки з «переривання обслуговування» можуть завдавати значно більший, в порівнянні з традиційними атаками, збиток, не залишаючи при цьому бізнесу можливості відновлення.

«Високий ступінь інформаційної безпеки страхової організації вже найближчим часом може стати одним з вагомих  чинників підвищення довіри до неї з боку споживачів послуг, а у разі кіберінцидентів і кібератак – важливою конкурентною перевагою», – вважає Сергій Тарасов.

Hовини ЛСОУ Актуально