РЕГУЛЯТОРНЕ ПОЛЕ ФОРМУВАННЯ ПОЛІТИКИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ ОРГАНІЗАЦІЇ

Тетяна Капелюшна; Світлана Легомінова; Тетяна Мужанова; Віталій Тищенко

doi:10.28925/2663-4023.2024.26.693

Автор(и)

Тетяна Капелюшна Державний університет інформаційно-комунікаційних технологій https://orcid.org/0000-0001-7490-6751
Світлана Легомінова Державний університет інформаційно-комунікаційних технологій https://orcid.org/0000-0002-4433-5123
Тетяна Мужанова Державний університет інформаційно-комунікаційних технологій https://orcid.org/0000-0002-7435-0287
Віталій Тищенко Державний університет інформаційно-комунікаційних технологій https://orcid.org/0000-0003-3849-6243

DOI:

https://doi.org/10.28925/2663-4023.2024.26.693

Ключові слова:

кібербезпека, політика управління;, управління інформаційною безпекою організацій;, комплаєнс управління інформаційною безпекою підприємства

Анотація

У статті розглянуто проблему недосконалості регуляторних документів у частині перегляду основних нормативно-правових актів, їх оновлення відповідно до змін та тенденцій щодо захисту інформаційних ресурсів. Наголошено на потребі удосконалення комплаєнсу організацій із урахуванням: динамічності оцифровізації послуг в Україні; інтегрованості у світовий діджиталізований простір, а також активного використання інформаційно-комунікаційних технологій; розширення спектру послуг у сфері електронних комунікацій, якими обумовлюються нові атаки на підприємства. Підкреслено, що перераховані тенденції вказують на потребу посилення захисту інформаційних потоків організацій (від несанкціонованого доступу, витоку конфіденційних даних, втрати інформаційних активів, розповсюдження результатів інтелектуальної діяльності, поширення інформації, що становлять комерційну таємницю) на основі формування надійного регуляторного підґрунтя. Наведено визначення понять: «політика інформаційної безпеки», «політика безпеки інформації», «політика інформаційної безпеки банку», а також представлено ресурси, які виступають об’єктами поширення політики інформаційної безпеки організації. Проведено моніторинг нормативно-правових документів та виокремлено основні регуляторні документи щодо забезпечення інформаційної безпеки організацій, а саме: закони, положення, постанови, міжнародні стандарти, укази Президента, що регулюють питання кібербезпеки та захисту інформації організацій, які функціонують у фінансовій сфері. Результати моніторингу документів та їх узагальнення розглядаються як підґрунтя формування посилення комплаєнсу та можливість їх імплементування у практичну діяльність банків при розробленні політики управління інформаційною безпекою фахівцями з кібербезпеки (головного комплаєнс-менеджера (CCO) та керівника, що загалом виступає гарантом забезпечення інформаційної безпеки — CISO)).

Завантаження

Дані завантаження ще не доступні.

Посилання

Titova, V., Kliots, Yu., Volynets, V., Petliak, N., & Ohorodnyk, M. (2024). Development of an information security policy for a private enterprise Rozroblennia polityky informatsiinoi bezpeky pryvatnoho pidpryiemstva. Measuring and Computing Devices in Technological Processes, 3, 79–83. https://doi.org/10.31891/2219-9365-2024-79-10

Chubaievskyi, V. (2022). Methods of corporate information security management. Ekonomika ta suspilstvo, 43. https://doi.org/10.32782/2524-0072/2022-43-49

Bosak, A., Verzhykovskyi, V., Kalinin, I., Maksymiv, I., Prystupa, D., & Ryvak, O. (2023). Principles of formation of enterprise information security. International Scientific Journal «Internauka». Series: Economic Sciences, 11(79). https://doi.org/10.25313/2520-2294-2023-11-9157

Rzhevska, N., & Feshchenko, A. (2022). The peculiarities of space state information policy. Language-Cultura-Politics. International Journal, 1, 247–264. https://doi.org/ 10.54515/lcp.2022.1.247-264

Kurii, Y., & Opirskyy, I. (2023). ISO 27001: Analysis of changes and compliance features of the new version of the standard. Electronic Professional Scientific Journal «Cybersecurity: Education, Science, Technique», 3(19), 46–55. https://doi.org/10.28925/2663-4023.2023.19.4655

Chmutova, I. M., Bezrodna, O. S., & Nechyporenko, D. I. (2020). The methodological instrumentarium for assessing compliance risks of financial monitoring of banks. Business Inform, 11(514), 296–309. https://doi.org/10.32983/2222-4459-2020-11-296-309

Herasymchuk, T. F., Kyrydon, A. M., & Troian, S. S. (2017). Zahalna teoriia polityky: Navchalnyi posibnyk [General theory of politics: A study guide], Kondor.

Kolbech, H. K. (2004). Polityka: Osnovni kontseptsii v suspil`nykh naukakh [Politics: Basic concepts in the social sciences]. Vydav. dim «KM Akademiia».

On Approval of the Methodological Recommendations for Ensuring Cyber Security of Automated Process Control Systems, Order, № 463 (2023) (Ukraine). https://ips.ligazakon.net/document/fn077605?an=37&ed=&dtm=&le=

On Approval of the General Requirements for the Cyber Defence of Critical Infrastructure Objects, Resolution of the Cabinet of Ministers of Ukraine No. 518 (2022) (Ukraine). https://zakon.rada.gov.ua/laws/show/518-2019-п#Text

On Amendments to Certain Regulatory Acts of the National Bank of Ukraine, Resolution of the National Bank of Ukraine № 40 (2023) (Ukraine). https://zakon.rada.gov.ua/laws/show/v0040500-23#Text

On Approval of the Regulation on the Organisation of the Risk Management System in Banks of Ukraine and Banking Groups, Resolution of the National Bank of Ukraine № 64 (2024) (Ukraine). https://zakon.rada.gov.ua/laws/show/v0064500-18#Text

On Approval of the Regulation on the Organisation of Measures to Ensure Information Security in the Banking System of Ukraine, Resolution of the National Bank of Ukraine № 95 (2017) (Ukraine). https://zakon.rada.gov.ua/laws/show/v0095500-17#Text

On Approval of the Regulation on Monitoring of Banks’ Compliance with Legislative Requirements on Information Security, Cyber Security and Electronic Trust Services, Resolution of the Board of the National Bank of Ukraine № 4 (2021). https://bank.gov.ua/ua/legislation/Resolution_16012021_4

PCI COUNCIL LLC. (2024). Standart (PCI DSS/ v.4.0.1.). https://east.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss

What are the 12 requirements of PCI DSS Compliance? (б. д.). ControlCase. https://www.controlcase.com/what-are-the-12-requirements-of-pci-dss-compliance/

Regulation (eu) 2016/679 of the European Parliament and of the Council (б. д.). EUR-Lex repealing Directive 95/46/EC (General Data Protection Regulation. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

EU Datenschutz Grundverordnung (EU-DSGVO). (б. д.). EU Datenschutz Grundverordnung (EU-DSGVO). https://www.privacy-regulation.eu/

INFORMATION SECURITY CONTROLS. (2022). ISO/IEC 27001:2022. IT Governance Publishing. https://doi.org/10.2307/j.ctv30qq13d.8

International Standart. (2022). Information security, cybersecurity and privacy protection — Information security controls (ISO/IEC 27002:2022).

Hulak, H. M., Zhiltsov, O. B., Kyrychok, R. V., Korshun, N. V., & Skladannyi, P. M. (2024). Information and cyber security of the enterprise. Textbook. Lviv: Publisher Marchenko T. V.