03680, Украина, г. Киев
ул. Николая Гринченко, 4

тел./факс +38 044 498-56-52
info@activ-audit.com.ua

Презентация (скачать .pdf)

 

Система управления информационой безопасностью (СУИБ) для банков И КОМПАНИЙ Украины

Общее

Сегодня проведение аудита СУИБ является необходимым и востребованным мероприятием. Ряд организаций, бизнес которых тесно связан с использованием информационных технологий, например, банки, нефтяные, газовые, энергетические и телекоммуникационные компании, стали активнее практиковать проведение аудита СУИБ.

Аудит СУИБ может быть инициализирован руководством банка (компании), (внутренний аудит СУИБ), контрагентами (например, аудит СУИБ может быть требованиям клиента или пунктом в Договоре), а также третьей стороной – контролирующими органами (НБУ) (аудиты проводимы независимыми компаниями).

Внешний аудит СУИБ позволяет получить понимание того, что в проверяемом банке или компании создана, внедрена, контролируется и функционирует СУИБ, отвечающая требованиям не только стандартам ISO, но и нормативным документам национального банка Украины, других контролирующих органов. ВнешнийАудит СУИБ даст  возможность оценить качество СУИБ по таким вопросам:

- определён и внедрен комплекс средств управлениями активами СУИБ, правильность оценки рисков,

- осуществляется оценка эффективности, мониторинг и анализ функционирования СУИБ,

- сопровождение и совершенствование.

Кроме того, внешний аудит СУИБ  даст заключение на сколько руководство продемонстрировало поддержку процессов и усилий, связанных с планированием. внедрением, эксплуатацией, контролем, сопровождением и модернизацией СУИБ  в соответствии с требованиями стандартов и нормативных документов

Нормативные документы и постановления НБУ

Правління Національного банку України видало Постанову № 474 від 28 жовтня 2010р. "Про набрання чинності стандартів з управління інформаційною безпекою в банківській системі Україні"

З дня опублікування цієї постанови набирають чинності такі стандарти НБУ:

 

  1.  Постанова № 95 від 28.09.2017р. Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України
  2. Постанова   28.03.2007 № 98 Про схвалення Методичних рекомендацій щодо вдосконалення корпоративного управління в банках України
  3. Постанова 08.09.2008 N 271. Про схвалення Методичних рекомендацій щодо планування в банках України заходів на випадок виникнення непередбачених обставин
  4. Постанова 04.07.2007 N 243. ПРАВИЛА  з технічного захисту інформації  для приміщень банків, у яких обробляються  електронні банківські документи
  5. Постанова 17.06.2004 № 265. Про затвердження Положення про забезпечення безперервного функціонування інформаційних систем національного банку України та банків України
  6.  Постанова№329 Положення про порядок формування, зберігання та знищення електронних архівів у НБУ і банках України
  7. Постанова 12.09.2006  N 357. Про затвердження Положення про порядок  формування, зберігання та знищення електронних архівів у Національному банку України і банках України
  8. Постанова № 601 від 12.09.2006р. Про затвердження Положення про порядок формування, зберігання та знищення електронних архівів у Національному банку України і банках України
  9. Постанова 10.02.2016  № 63. Про затвердження Правил з організації захисту приміщень банків в Україні

 

Состав Серии ISO

ISO / IEC 27001 до: 2013 Information security management systems.  Requirements- Система менеджменту інформаційною безпекою.  Вимоги. 

ISO / IEC 27000 до: 2016 Information security management systems.  Overview and vocabulary - Система менеджменту інформаційної безпеки.  Огляд і термінологія.

 ISO / IEC 27002 до: 2013 Code of practice for information security management - Практичні правила щодо управління інформаційною безпекою.

 ISO / IEC 27003: 2010 Information Security Management Systems Implementation Guidance - Керівництво по впровадженню системи менеджменту інформаційною безпекою.

 ISO / IEC 27004: 2009 Information security management.  Measurement - Вимірювання ефективності системи менеджменту інформаційною безпекою.

 ISO / IEC 27005: 2011 Information security risk management - Управління ризиками інформаційної безпеки.

 ISO / IEC 27006 до: 2015 Requirements for bodies providing audit and certification of information security management systems - Вимоги до органів аудиту і сертифікації систем менеджменту інформаційною безпекою.

 ISO / IEC 27007: 2011 Guidelines for Information Security Management Systems auditing (FCD) - Керівництво для аудиту СМІБ.

 ISO / IEC 27008: 2011 Guidance for auditors on ISMS controls (DRAFT) - Керівництво по аудиту механізмів контролю СМІБ.

  ISO / IEC 27011: 2008 Information security management guidelines for telecommunications organizations based of  ISO / IEC 27002 - Керівництво з управління інформаційною безпекою для телекомунікацій на основі ISO /

 IEC 27002. ISO / IEC 27799: 2008 Information security management in health using ISO / IEC 27002  - Керівництво з управління інформаційною безпекою для організацій охорони здоров'я на основі ISO / IEC 27002.