bga68comp | Entries tagged with политика

Таксономія документів Системи управління інформаційної безпеки відповідно до стандарту ISO 27001:2022

У стандарті ISO 27001:2022 йдеться про кілька ключових процесів управління інформаційною безпекою (ІБ), які слід впроваджувати для досягнення відповідності. Основні процеси включають:

Оцінка ризиків: Процес ідентифікації, оцінки та управління ризиками для забезпечення належного рівня інформаційної безпеки.
Управління інцидентами: Процес виявлення, реагування та відновлення після інцидентів, що впливають на інформаційну безпеку.
Управління змінами: Процес для планування, здійснення та документування змін в ІТ-системах та середовищі інформаційної безпеки.
Управління активами: Процес реєстрації та управління інформаційними активами, їх захисту та обліку.
Контроль доступу: Процес забезпечення належного доступу до інформаційних ресурсів, включаючи визначення прав доступу та контролю.
Управління постачальниками: Процес забезпечення безпеки при роботі з постачальниками та зовнішніми контрагентами.
Управління документацією та записами: Процес створення, зберігання, оновлення та знищення документів і записів.
Навчання та підвищення обізнаності: Процес навчання співробітників і підвищення їх обізнаності в області інформаційної безпеки.
Оцінка відповідності: Процес перевірки відповідності інформаційної безпеки вимогам політик, стандартів та регуляторних вимог.
Аудити: Процес проведення внутрішніх і зовнішніх аудитів для перевірки відповідності стандартам і ефективності системи управління інформаційною безпекою.
Управління фізичними та технічними ресурсами: Процес забезпечення фізичного захисту інформаційних ресурсів і технічних засобів.
Оцінка ефективності системи управління інформаційною безпекою: Включає процеси для проведення внутрішніх аудитів і управлінських оглядів.

Ці процеси є частинами системи управління інформаційною безпекою (ISMS), яка забезпечує захист інформаційних активів та підтримує відповідність стандарту.

Приклади документів до процесів, визначених в стандарті ISO 27001:2022

Категорія	Документи	Опис
1. Політики	Політика інформаційної безпеки	Описує загальні принципи та наміри щодо захисту інформації.
	Політика контролю доступу	Визначає правила та процедури контролю доступу до інформаційних ресурсів.
	Політика управління ризиками	Визначає підходи до ідентифікації, оцінки та управління ризиками.
	Політика безпеки мереж	Описує вимоги до захисту мережевої інфраструктури та комунікацій.
	Політика безпеки фізичних і технічних ресурсів	Визначає вимоги до фізичного захисту ІТ-інфраструктури.
	Політика безпеки для використання мобільних пристроїв	Регулює безпеку мобільних пристроїв та їх використання.
	Політика управління постачальниками	Описує вимоги до безпеки при роботі з постачальниками та зовнішніми контрагентами.
	Політика збереження конфіденційності	Визначає принципи та правила для забезпечення конфіденційності особистих та корпоративних даних.
	Політика управління відповідністю	Описує підходи до забезпечення відповідності вимогам стандартів, законодавства та інших регуляторних актів.
2. Процедури	Процедура управління інцидентами інформаційної безпеки	Описує процеси для виявлення, реагування та відновлення після інцидентів.
	Процедура резервного копіювання та відновлення	Визначає методи резервного копіювання даних та їх відновлення у разі втрати.
	Процедура управління змінами	Регулює процеси для планування, здійснення та документування змін в ІТ-системах.
	Процедура управління життєвим циклом ІТ-систем	Описує процеси та практики для управління ІТ-системами від впровадження до виведення з експлуатації.
	Процедура оцінки відповідності	Визначає методи перевірки відповідності політикам та стандартам інформаційної безпеки.
	Процедура управління доступом до фізичних ресурсів	Описує контроль доступу до фізичних приміщень та обладнання.
	Процедура перевірки безпеки програмного забезпечення	Визначає методи перевірки безпеки програмного забезпечення, включаючи вразливості та оновлення.
	Процедура управління документами та записами	Описує правила для створення, зберігання, оновлення та знищення документів і записів.
	Процедура проведення аудитів	Визначає методи і підходи до проведення внутрішніх і зовнішніх аудитів системи управління інформаційною безпекою.
	Процедура реєстрації активів	Описує процеси і вимоги для реєстрації та управління інформаційними активами.
3. Інструкції	Інструкція з роботи з системою контролю доступу	Описує конкретні кроки для налаштування та управління доступом.
	Інструкція з роботи з системами резервного копіювання	Описує процеси для виконання резервного копіювання та відновлення даних.
	Інструкція для персоналу з реагування на інциденти	Визначає конкретні дії для співробітників при виявленні інцидентів інформаційної безпеки.
	Інструкція з перевірки безпеки програмного забезпечення	Описує деталі перевірки та оновлення програмного забезпечення для забезпечення безпеки.
4. Метрики	Метрики ефективності контролю доступу	Показники для оцінки ефективності системи контролю доступу.
	Метрики успішності резервного копіювання	Показники для оцінки ефективності процесу резервного копіювання та відновлення даних.
	Метрики управління інцидентами	Показники для оцінки швидкості та ефективності реагування на інциденти.
	Метрики управління ризиками	Показники для оцінки процесу управління ризиками та виявлених ризиків.
5. Планування	План управління інформаційною безпекою	Визначає плани реалізації політик та процедур інформаційної безпеки.
	План управління кризовими ситуаціями	Описує стратегії для подолання кризових ситуацій, що впливають на інформаційну безпеку.
	План реагування на інциденти	Описує деталі для організації та виконання заходів у випадку інцидентів інформаційної безпеки.
6. Реєстрації	Реєстрація інцидентів інформаційної безпеки	Документи, що відображають усі зареєстровані інциденти та їх деталі.
	Реєстрація ризиків	Документує всі виявлені ризики та їх оцінки.
	Реєстрація активів	Документує всі інформаційні активи, їх місцезнаходження і відповідальних осіб.
7. Звіти	Звіт про внутрішні аудити	Документи, що містять результати внутрішніх аудиторських перевірок інформаційної безпеки.
	Звіт про управлінські огляди	Описує результати перегляду та оцінки ефективності системи управління інформаційною безпекою.
	Звіт про оцінку ризиків	Описує результати оцінки ризиків та рекомендації для їх управління.
8. Інші документи	Документи навчання та обізнаності	Описують програми навчання для підвищення обізнаності персоналу щодо інформаційної безпеки.
	Договори та угоди з постачальниками	Документи, що регулюють умови співпраці з постачальниками у контексті інформаційної безпеки.
	Плани тестування безпеки	Включають плани для регулярного тестування систем на вразливості.
	Оцінки впливу на конфіденційність (PIAs)	Документи, що описують процеси оцінки впливу проектів на конфіденційність даних.

💻 На стартову сторінку

Приклад

Політика моніторингу та реагування на події інформаційної безпеки

1. Вступ

Ця політика визначає підходи до моніторингу інформаційної безпеки (ІБ) та реагування на події, пов'язані з безпекою, які можуть впливати на конфіденційність, цілісність та доступність інформаційних активів організації. Метою є забезпечення своєчасного виявлення, оцінки та реагування на потенційні загрози та інциденти.

2. Сфера дії

Політика застосовується до всіх співробітників, підрядників та третіх осіб, які використовують або мають доступ до інформаційних систем організації. Вона охоплює всі інформаційні активи, включаючи апаратне та програмне забезпечення, мережеві ресурси та дані.

3. Визначення

Інцидент інформаційної безпеки - будь-яка подія, яка має або може мати негативний вплив на інформаційну безпеку організації.
Моніторинг інформаційної безпеки - процес безперервного спостереження за інформаційними системами та активами для виявлення ознак потенційних інцидентів.

4. Процедури моніторингу

4.1 Засоби моніторингу
Організація впроваджує та використовує засоби моніторингу для виявлення аномалій, загроз та інцидентів у реальному часі. До них відносяться:

Системи виявлення вторгнень (IDS/IPS);
Антивірусне програмне забезпечення;
Фаєрволи та системи контролю доступу;
Логування та аналіз журналів подій;
Моніторинг мережевого трафіку.

4.2 Оповіщення та сповіщення
В разі виявлення інциденту або аномалії, система моніторингу повинна автоматично генерувати оповіщення, які будуть негайно передані відповідальним особам для подальшого розгляду.

5. Процедури реагування

5.1 Класифікація інцидентів
Інциденти повинні бути класифіковані за рівнем критичності та впливу на бізнес-процеси. Класифікація визначає пріоритетність та порядок реагування.

5.2 Етапи реагування

Ідентифікація: Збір та аналіз інформації про інцидент.
Контейнування: Вжиття заходів для обмеження поширення інциденту.
Усунення: Відновлення нормальної роботи системи та усунення загроз.
Відновлення: Відновлення функціоналу систем після інциденту.
Аналіз: Оцінка інциденту та розробка рекомендацій для попередження подібних подій у майбутньому.

5.3 Звітність та документування
Усі інциденти повинні бути документовані. Включно з деталями про час, тип інциденту, дії, які були вжиті, та результати реагування. Розслідування та звітність повинні бути завершені якомога швидше після завершення реагування.

6. Ролі та відповідальність

6.1 Відповідальні особи
Кожен інцидент ІБ повинен мати призначеного відповідального, який забезпечує координацію дій та комунікацію з усіма зацікавленими сторонами.

6.2 Зовнішні партнери
У разі необхідності, організація може залучати зовнішніх фахівців для розслідування або реагування на інциденти.

7. Оцінка та вдосконалення

7.1 Періодичний огляд
Ця політика підлягає регулярному перегляду та вдосконаленню з урахуванням нових загроз та змін в ІТ-інфраструктурі.

7.2 Навчання та підготовка
Всі співробітники, відповідальні за реагування на інциденти, повинні проходити регулярне навчання та підготовку з питань ІБ.

8. Дотримання політики

Невиконання положень цієї політики може призвести до дисциплінарних заходів, включаючи звільнення.

💻 На головну сторінку

функціональні вимоги до системи DLP (Data Loss Prevention):

Контроль і моніторинг всіх каналів передачі даних:
- Система повинна підтримувати різні канали передачі даних, такі як електронна пошта, веб-браузери, месенджери, знімні носії, принтери, хмарні сервіси та мобільні пристрої.
- Необхідно забезпечити контроль даних як у спокої (в системах зберігання), так і в русі (під час передачі через мережу або перенесення на зовнішні пристрої).
Аналіз вмісту і контексту:
- Система повинна вміти аналізувати вміст файлів, повідомлень і даних на предмет конфіденційної інформації, такої як особисті дані (PII), фінансові дані та інтелектуальна власність.
- Контекстний аналіз має враховувати інформацію про те, хто, коли і як взаємодіє з даними, включаючи місце розташування та пристрій.
Класифікація і маркування даних:
- Дані повинні класифікуватися як автоматично, так і вручну на основі їх вмісту, контексту та політик.
- Необхідна інтеграція з системами класифікації та маркування даних, такими як Microsoft Information Protection.
Створення і управління політиками безпеки:
- Можливість створювати гнучкі політики безпеки для різних категорій даних і користувачів.
- Підтримка шаблонів політик і управління ними через централізовану консоль, включаючи автоматичне застосування змін у реальному часі.
Ідентифікація і блокування витоків даних:
- Система повинна виявляти спроби витоку даних і мати можливість автоматичної блокування або обмеження доступу.
- Реакція на інциденти може включати сповіщення адміністратора, попередження користувача, ведення журналу подій, тимчасове або постійне блокування операції.
Журналювання і звітність:
- Ведення журналів усіх подій, пов'язаних із доступом, передачею та зміною даних.
- Створення звітів по інцидентах, дотриманню політик та активності користувачів.
- Можливість налаштування звітів під конкретні вимоги організації або нормативів.
Інтеграція з іншими системами безпеки:
- Підтримка інтеграції з SIEM-системами, антивірусами, рішеннями по управлінню правами доступу (IAM), системами виявлення загроз та іншими інструментами безпеки.
- Можливість взаємодії з існуючими системами управління інцидентами та реагування на них.
Аналіз поведінки користувачів (UBA):
- Аналіз поведінки користувачів і виявлення аномалій, які можуть свідчити про потенційні загрози (наприклад, незвичайні обсяги переданих даних або нетипові дії користувача).
- Інтеграція з системами машинного навчання для прогнозування і запобігання загрозам на основі історичних даних.
Управління доступом і авторизація:
- Підтримка багатофакторної автентифікації і ролей на основі прав доступу для управління тим, хто і як може взаємодіяти з системою DLP та захищеними даними.
- Гнучкість налаштування рівнів доступу залежно від ролі користувача і контексту.
Підтримка роботи з зашифрованими даними:
- Можливість аналізу і контролю даних, зашифрованих з використанням різних алгоритмів і протоколів.
- Інтеграція з системами управління ключами для дешифрування і аналізу даних.
Оновлення і адаптація до нових загроз:
- Регулярні оновлення системи для захисту від нових типів загроз і уразливостей.
- Можливість додавання і оновлення політик, шаблонів і правил у відповідь на зміни в нормативних вимогах і бізнес-середовищі.
Управління інцидентами і реагування:
- Наявність інструментів для управління інцидентами, включаючи створення інцидентних карт, автоматичне сповіщення і можливість швидкого реагування.
- Інтеграція з системами реагування на інциденти для координації і автоматизації дій по усуненню загроз.

Ці функціональні вимоги допомагають забезпечити всебічний захист даних в організації, мінімізуючи ризики витоків і забезпечуючи відповідність нормативним вимогам.

💻 На головну сторінку

Документи, які потрібно розглянути та прийняти організації перед впровадженням системи DLP з юридичної точки зору, відповідно до стандарту ISO 27001 і законів України:

1. Документи, пов'язані з законодавством України

1.1. Положення про захист персональних даних

Зміст: Документ, що описує, як організація збирає, обробляє, зберігає та захищає персональні дані, включаючи права суб'єктів даних та обов'язки організації.
Законодавство: Закон України "Про захист персональних даних".

1.2. Політика інформаційної безпеки

Зміст: Документ, що визначає загальні підходи та заходи для захисту інформації в організації, включаючи вимоги до системи DLP.
Законодавство: Закон України "Про основи забезпечення кібербезпеки України".

1.3. Регламент обробки персональних даних

Зміст: Документ, що деталізує процеси обробки персональних даних відповідно до національного законодавства.
Законодавство: Закон України "Про захист персональних даних".

1.4. Політика конфіденційності

Зміст: Документ, що інформує суб'єктів даних про те, як їх персональні дані збираються, використовуються та захищаються, а також про права суб'єктів даних.
Законодавство: Закон України "Про захист персональних даних".

1.5. Угода про конфіденційність (NDA)

Зміст: Документ, що встановлює зобов'язання співробітників та контрагентів щодо нерозголошення конфіденційної інформації та персональних даних.
Законодавство: Закон України "Про захист персональних даних", Закон України "Про комерційну таємницю".

1.6. Порядок реагування на інциденти безпеки

Зміст: Документ, що регламентує дії співробітників і керівництва при виявленні інцидентів інформаційної безпеки, включаючи витоки даних.
Законодавство: Закон України "Про основи забезпечення кібербезпеки України".

2. Документи, пов'язані з ISO 27001

2.1. Політика інформаційної безпеки (Information Security Policy)

Зміст: Основоположний документ, що описує зобов'язання керівництва щодо забезпечення інформаційної безпеки, цілі безпеки, обсяги застосування та основні принципи захисту інформації.
Стандарти: Пункт 5.2 "Політика інформаційної безпеки".

2.2. Оцінка ризиків (Risk Assessment)

Зміст: Документ, що описує процес ідентифікації, аналізу та оцінки ризиків для інформаційної безпеки, включаючи ризики, пов'язані з витоками даних.
Стандарти: Пункти 6.1.2 "Оцінка ризиків в області інформаційної безпеки" та 6.1.3 "Обробка ризиків в області інформаційної безпеки".

2.3. Методика управління ризиками (Risk Treatment Plan)

Зміст: Документ, що визначає заходи щодо зниження, передачі, уникнення або прийняття ризиків, пов'язаних з інформаційною безпекою, і описує, як система DLP може допомогти в управлінні цими ризиками.
Стандарти: Пункт 6.1.3 "Обробка ризиків в області інформаційної безпеки".

2.4. Декларація застосовності (Statement of Applicability, SoA)

Зміст: Документ, що підтверджує, які з рекомендованих контролів інформаційної безпеки ISO 27001 організація впровадила і чому.
Стандарти: Пункт 6.1.3 "Обробка ризиків в області інформаційної безпеки".

2.5. План неперервності бізнесу (Business Continuity Plan)

Зміст: Документ, що описує процедури для забезпечення неперервності бізнес-процесів у випадку інцидентів, включаючи витоки даних.
Стандарти: Пункт 17 "Аспекти інформаційної безпеки в управлінні неперервністю бізнесу".

2.6. Політика управління доступом (Access Control Policy)

Зміст: Документ, що описує правила та процедури для управління доступом до інформаційних активів, включаючи налаштування та управління доступом у системі DLP.
Стандарти: Пункт 9.4 "Управління доступом".

2.7. Журнали та контрольні журнали (Logging and Monitoring)

Зміст: Документ, що описує процедури ведення та аналізу журналів, а також моніторингу подій інформаційної безпеки, включаючи використання системи DLP для відстеження витоків даних.
Стандарти: Пункт 12.4 "Логування та моніторинг".

3. Документи, пов'язані з внутрішніми процесами та регламентами

3.1. Інструкції по роботі з системою DLP

Зміст: Оперативні інструкції для адміністраторів та користувачів, що описують правила роботи з системою DLP, включаючи процеси моніторингу, звітності та реагування на інциденти.

3.2. Технічні політики та процедури

Зміст: Документи, що описують технічні заходи безпеки, такі як конфігурації серверів, мереж, робочих станцій та впровадження системи DLP.

3.3. Положення про захист комерційної таємниці

Зміст: Документ, що регулює правила звернення з конфіденційною інформацією та комерційною таємницею, включаючи використання системи DLP для захисту цих даних.

4. Додаткові документи

4.1. Угоди з підрядниками та партнерами

Зміст: Угоди, що містять положення про захист даних, зобов'язання щодо використання системи DLP та відповідальність за витік даних.

4.2. Документовані докази відповідності

Зміст: Журнали аудитів, результати оцінки ризиків та інші документи, що підтверджують, що організація дотримується вимог законодавства та стандарту ISO 27001.

Цей перелік документів допоможе організації не тільки дотримуватись законодавства України, але й впровадити ефективну систему інформаційної безпеки відповідно до міжнародних стандартів.

💻 На головну сторінку

Якщо розглядати Політику антивірусного захисту з урахуванням COBIT, то маємо на увазі наступне:

COBIT (Control Objectives for Information and Related Technology) — це фреймворк управління ІТ, розроблений для забезпечення зв’язку між ІТ-цілями та бізнес-цілями. COBIT охоплює безліч аспектів ІТ-управління, включаючи управління ризиками, безпеку, контроль і відповідність вимогам.
Антивірусний захист у контексті COBIT може розглядатися в рамках доменів, пов’язаних з управлінням ризиками та забезпеченням інформаційної безпеки. Ось ключові розділи та процеси COBIT, які стосуються антивірусного захисту:

APO12 - Управління ризиками (Risk Management)
- У цьому процесі COBIT описується необхідність ідентифікації, оцінки та управління ІТ-ризиками, що включає загрози безпеки, такі як віруси та шкідливе ПЗ. Антивірусний захист розглядається як одна з заходів для зменшення ризиків.
DSS05 - Управління безпекою (Manage Security Services)
- Цей процес включає забезпечення інформаційної безпеки шляхом реалізації та підтримання заходів захисту, таких як антивірусні рішення, брандмауери та інші механізми захисту.
DSS01 - Управління операційними ІТ-послугами (Manage Operations)
- Операційні процеси управління ІТ можуть включати моніторинг і управління антивірусним захистом як частину загальних ІТ-послуг.
BAI09 - Управління конфігурацією (Manage Configuration)
- Антивірусні програми повинні бути правильно сконфігуровані та оновлені, що також стосується управління конфігурацією ІТ-інфраструктури.

Ці розділи COBIT допомагають організаціям розробляти, впроваджувати та підтримувати ефективні заходи антивірусного захисту, а також управляти відповідними ризиками, пов’язаними з шкідливим програмним забезпеченням.

💻 На головну сторінку

Які накази і рішення НБУ стосуються дотримання вимог в контексті захисту платіжних систем та фінансових даних?

Національний банк України (НБУ) видав ряд нормативних актів, які регулюють питання захисту платіжних систем і фінансових даних. Ці акти встановлюють вимоги до інформаційної безпеки, включаючи дотримання міжнародних стандартів, таких як PCI DSS. Нижче наведено основні накази і рішення НБУ, що стосуються цього питання:

1. Постанова НБУ №95 "Про затвердження Положення про здійснення захисту інформації та кібербезпеки в банківській системі України"

Дата прийняття: 28 вересня 2022 року
Опис: Ця постанова встановлює вимоги до забезпечення інформаційної безпеки та кібербезпеки в банківській системі України. Вона регулює порядок захисту інформації, яка обробляється в банках і фінансових установах, включаючи захист платіжних даних. Постанова зобов'язує банки впроваджувати системи управління інформаційною безпекою, відповідати міжнародним стандартам (включаючи PCI DSS), а також забезпечувати кіберзахист своїх інформаційних систем.

2. Постанова НБУ №75 "Про затвердження Положення про захист інформації та кібербезпеки в платіжних системах"

Дата прийняття: 21 червня 2019 року
Опис: Ця постанова регламентує вимоги до захисту інформації в платіжних системах, а також визначає правила захисту фінансових даних, які обробляються в цих системах. Положення зобов’язує операторів платіжних систем, платіжних інфраструктурних сервісів, а також їхніх учасників дотримуватися вимог до безпеки даних, включаючи стандарти PCI DSS.

3. Постанова НБУ №56 "Про організацію захисту інформації в банках України"

Дата прийняття: 14 липня 2006 року (з подальшими змінами)
Опис: Постанова регулює загальні питання організації захисту інформації в банках України. Вона включає вимоги до створення систем захисту інформації, управління ризиками, моніторингу та аудиту безпеки, а також захисту фінансових даних, що обробляються банками.

4. Постанова НБУ №391 "Про затвердження Положення про здійснення нагляду (оверсайта) за платіжними системами"

Дата прийняття: 30 жовтня 2018 року
Опис: Цей документ регламентує порядок нагляду за платіжними системами та їхніми учасниками з боку НБУ. Постанова встановлює вимоги до дотримання стандартів безпеки, зокрема щодо захисту інформації та забезпечення кібербезпеки в платіжних системах.

5. Рішення НБУ щодо підвищення стандартів кібербезпеки в банківській системі України

Опис: НБУ регулярно приймає рішення, спрямовані на підвищення рівня кібербезпеки в банківському секторі. В рамках цих рішень банки зобов'язані впроваджувати новітні технології захисту інформації, посилювати контроль за доступом до платіжних систем, а також регулярно проводити аудит безпеки.

6. Листи та роз'яснення НБУ щодо дотримання стандартів інформаційної безпеки

Опис: НБУ періодично надсилає листи та роз'яснення щодо необхідності дотримання стандартів інформаційної безпеки, включаючи PCI DSS. Ці документи можуть містити рекомендації щодо кращих практик у сфері захисту платіжних даних та кібербезпеки.

Ці нормативні акти та рішення регламентують захист платіжних систем і фінансових даних, забезпечуючи безпеку та надійність банківської системи України. Банки та фінансові установи зобов'язані дотримуватися цих вимог і забезпечувати відповідність міжнародним стандартам, включаючи PCI DSS.

Також дивись:
→ Про PCI DSS 4.0

Які накази і рішення НБУ стосуються дотримання вимог в контексті захисту платіжних систем та фінансових даних?

НБУ видає низку нормативно-правових актів, які регулюють питання захисту платіжних систем та фінансових даних. Основні документи, що стосуються дотримання вимог інформаційної безпеки в контексті захисту платіжних систем, включають:

1. Постанова Правління НБУ № 243 від 4 липня 2007 року (зі змінами та доповненнями)

Назва: "Про затвердження Правил захисту інформації та кіберзахисту в платіжних системах України".
Опис: Ця постанова встановлює вимоги до захисту інформації в платіжних системах, зокрема до забезпечення конфіденційності, цілісності та доступності даних, що обробляються в рамках платіжних операцій.

2. Постанова Правління НБУ № 351 від 28 вересня 2021 року

Назва: "Про затвердження Положення про порядок організації захисту інформації та кіберзахисту в банківській системі України".
Опис: Ця постанова регулює питання організації інформаційної безпеки та кіберзахисту в банках України, включаючи вимоги до систем захисту платіжних даних, управління ризиками та дотримання міжнародних стандартів, таких як PCI DSS.

3. Постанова Правління НБУ № 95 від 3 грудня 2018 року

Назва: "Про затвердження Положення про захист інформації в платіжних системах і розрахункових операціях".
Опис: Ця постанова встановлює вимоги до захисту інформації в платіжних системах, включаючи вимоги щодо безпеки обробки, зберігання та передачі платіжних даних.

4. Постанова Правління НБУ № 518 від 28 вересня 2020 року

Назва: "Про затвердження Положення про організацію заходів з кіберзахисту в банківській системі України".
Опис: Документ регламентує заходи, які банки повинні впроваджувати для захисту від кіберзагроз, включаючи захист платіжних систем, моніторинг кіберінцидентів та управління ризиками інформаційної безпеки.

5. Рішення НБУ про захист даних під час дистанційного банківського обслуговування

Назва: "Про затвердження Положення про порядок надання банківських послуг із використанням інформаційно-телекомунікаційних систем".
Опис: Встановлює вимоги до захисту даних під час надання банківських послуг через дистанційні канали, включаючи інтернет-банкінг і мобільні додатки, що важливо для захисту даних клієнтів та платіжних систем.

6. Методичні рекомендації НБУ

Назва: "Методичні рекомендації щодо забезпечення захисту інформації в банківських установах України".
Опис: Ці рекомендації надають банкам керівництво щодо впровадження заходів інформаційної безпеки та дотримання вимог міжнародних стандартів, таких як PCI DSS.

Ці документи є ключовими нормативно-правовими актами, що регулюють захист платіжних систем та фінансових даних в Україні, забезпечуючи дотримання банками та іншими фінансовими установами вимог до інформаційної безпеки.

Також дивись:
→ Про PCI DSS 4.0