Постановление НБУ № 95: как банкам усилить контроль над устройствами, доступом и кибербезопасностью с помощью ManageEngine
5-7 мин.
26.05.2026
Содержание
Вступление
Финансовый сектор работает с критически важными данными, платежной инфраструктурой, удаленным доступом, корпоративными устройствами и учетными записями с различными уровнями прав доступа. В таких условиях информационная безопасность не может ограничиваться лишь антивирусной защитой или защитой периметра.
Для банков в Украине одним из ключевых нормативных документов в сфере информационной безопасности является Постановление Правления НБУ от 28 сентября 2017 года № 95, которым утверждено Положение об организации мер по обеспечению информационной безопасности в банковской системе Украины. Этот документ действует в настоящее время и устанавливает обязательные минимальные требования к организации мер информационной безопасности и киберзащиты.
Важно: Постановление № 95 содержит требования к рабочим станциям, серверам, оборудованию, подключаемому к сети банка, централизованному управлению защитой, контролю доступа, ведению журналов событий, обновлениям безопасности и управлению инцидентами. Именно эти требования на практике обусловливают необходимость централизованного контроля конечных устройств.
Что такое Постановление НБУ № 95 и какова его цель?
Постановлением НБУ № 95 утверждается Положение об организации мер по обеспечению информационной безопасности в банковской системе Украины. Его цель — установить требования к организации информационной безопасности и киберзащиты банков с учетом актуальных киберугроз.
В документе определены:
- обязательные минимальные требования к организации мер информационной безопасности и киберзащиты;
- принципы управления информационной безопасностью;
- требования к информационным системам банка, взаимодействующим с информационными системами НБУ.
Постановление также предусматривает внедрение системы управления информационной безопасностью в соответствии с ДСТУ ISO/IEC 27001:2015 и применение риск-ориентированного подхода.
Кто подпадает под действие Постановления?
Основное действие Постановления № 95 распространяется на банки. В то же время отдельные требования раздела III также распространяются на небанковские учреждения, являющиеся участниками информационных систем Национального банка Украины.
Поэтому эта тема в первую очередь актуальна для:
- банков;
- финансовых учреждений, взаимодействующих с информационными системами НБУ;
- ИТ-директоров и CISO в банковском секторе;
- команд информационной безопасности;
- ИТ-отделов, отвечающих за рабочие станции, серверы, доступы, обновления и журналы событий;
- лиц, ответственных за аудит, комплаенс и управление рисками.
Самодиагностика: «Где вы сейчас?»
Перед внедрением или обновлением средств информационной безопасности банка следует оценить текущее состояние ИТ-инфраструктуры.
Ответьте на 10 вопросов:
- Имеет ли банк актуальный перечень рабочих станций, ноутбуков, серверов и мобильных устройств?
- Можно ли быстро определить, какие устройства подключаются к сети банка?
- Контролируется ли наличие и корректная работа агентов защиты на рабочих станциях и серверах?
- Существует ли централизованный процесс установки обновлений безопасности для операционных систем?
- Контролируются ли съемные носители информации, в частности USB-устройства?
- Существуют ли политики ограничения прав локальных администраторов и избыточных прав пользователей?
- Используется ли многофакторная аутентификация для административного или удаленного доступа?
- Ведется ли журнал действий по предоставлению, изменению или отмене доступа?
- Существует ли централизованный мониторинг событий, связанных с доступом, изменениями, инцидентами и устройствами?
- Можно ли быстро сформировать отчет для внутреннего аудита или проверки?
Если большинство ответов — «нет» или «частично», инфраструктура может потребовать дополнительных инструментов контроля, автоматизации и отчетности.
Комплексный подход от SOFTICO
Как официальный реселлер решений ManageEngine в Украине, компания SOFTICO помогает банкам и финансовым учреждениям подобрать инструменты для решения задач информационной безопасности, ИТ-администрирования и обеспечения соответствия нормативным требованиям. Решения ManageEngine могут быть полезны для централизованного управления устройствами, контроля обновлений, аудита действий пользователей, мониторинга доступа, управления привилегированными учетными записями и подготовки отчетности для внутренних и внешних проверок.
Важно понимать: ни одно программное решение само по себе не гарантирует полного соответствия Постановлению НБУ № 95. Соответствие зависит от политик банка, процессов, настроек, ответственных лиц, аудита, обучения персонала и регулярного контроля.
Тем не менее, решения ManageEngine могут помочь технически реализовать часть требований, связанных с контролем конечных устройств, доступа, обновлений, журналов событий, привилегированных учетных записей и инцидентов.
Ключевые решения для банковской инфраструктуры
ManageEngine Endpoint Central
Решение для унифицированного управления конечными устройствами и защиты рабочих станций, ноутбуков и серверов. Помогает централизованно управлять обновлениями, устранять уязвимости, контролировать защиту от вредоносного ПО, управлять приложениями, правами пользователей, ИТ-активами, конфигурациями, удаленным доступом, а также формировать отчеты для аудита.
ManageEngine Mobile Device Manager Plus
Решение для управления мобильными устройствами Apple, Android, Windows и Chrome. Позволяет централизованно управлять корпоративными и BYOD-устройствами, применять политики безопасности, контролировать мобильные приложения, настраивать корпоративную почту, выполнять удаленное устранение проблем, вести учет устройств, управлять контентом и формировать отчеты для аудита.
ManageEngine PAM360
Решение для управления привилегированным доступом к критически важным системам. Помогает контролировать учетные записи администраторов, внедрять принцип минимальных привилегий, управлять временным повышением прав, обеспечивать безопасный удаленный доступ, мониторить привилегированные сессии и формировать отчеты для аудита и обеспечения соответствия требованиям.
ManageEngine ADAudit Plus
Решение для аудита Active Directory, Windows Server, рабочих станций, файловых серверов и действий пользователей. Позволяет отслеживать входы пользователей, изменения в учетных записях, действия привилегированных пользователей, изменения в файлах, групповых политиках и правах доступа, а также контролировать события, связанные с съемными носителями и удаленным доступом.
Таблица соответствия требованиям НБУ № 95 и решениям ManageEngine
Ниже приведена подробная матрица соответствия решений ManageEngine конкретным требованиям НБУ.
| Направление требований Постановления № 95 | Что предусмотрено официальным документом | Решение ManageEngine | Как это может помочь |
|---|---|---|---|
| СУИБ и риск-ориентированный подход | Банк должен внедрить систему управления информационной безопасностью в соответствии с ДСТУ ISO/IEC 27001:2015 и организовать процесс управления рисками информационной безопасности | Endpoint Central, ADAudit Plus, PAM360 | Предоставляет данные для мониторинга, отчетности, анализа рисков и подтверждения соблюдения политик |
| Контроль доступа | Постановление требует предоставления документов, касающихся использования, предоставления, отмены и контроля доступа, включая удаленный доступ | PAM360, ADAudit Plus | Помогает контролировать привилегированный доступ, фиксировать действия пользователей и формировать аудиторские отчеты |
| Минимальные привилегии | Банк должен соблюдать принцип минимальных полномочий, в том числе в отношении привилегированных пользователей | PAM360, Endpoint Central | Позволяет ограничивать избыточные права, контролировать административный доступ, применять временное повышение привилегий |
| MFA для администрирования | Постановление обязывает МИД при предоставлении доступа для администрирования или сопровождения САБ | PAM360 | Помогает усилить контроль над привилегированными подключениями и доступами |
| Журнал доступа | Документ предусматривает ведение журналов действий по предоставлению, отмене или изменению доступа, а также хранение этих журналов | ADAudit Plus, PAM360 | Обеспечивает аудит действий пользователей, администраторов, изменений в Active Directory, групповых политиках, файлах и правах доступа |
| Защита от вредоносного кода | Постановление предусматривает централизованное управление защитой, обновлениями, журналами и мониторингом агентов на рабочих станциях и серверах | Endpoint Central | Помогает контролировать состояние устройств, агентов, обновлений и настроек, а также формировать отчеты |
| Контроль рабочих станций и серверов | В документе прямо упоминаются рабочие станции и серверы в контексте средств защиты, обновлений и агентов | Endpoint Central | Инвентаризация, управление исправлениями, контроль программного обеспечения, конфигураций, уязвимостей и состояния устройств |
| Идентификация оборудования в сети | Банк должен обеспечить идентификацию оборудования, подключаемого к сети банка | Endpoint Central | Помогает проводить инвентаризацию устройств и контролировать конечные точки в корпоративной среде |
| Сменные носители информации | Постановление предусматривает контроль, идентификацию, ограничение использования и проверку сменных носителей | Endpoint Central, ADAudit Plus | Управление устройствами, аудит USB-событий, контроль доступа к съемным носителям |
| Обновление безопасности ОС | Банк должен использовать инструменты централизованного мониторинга и установки обновлений безопасности для ОС | Endpoint Central | Автоматизация сканирования, тестирования и развертывания обновлений ОС и приложений |
| Удаленный доступ | Постановление требует наличия DMZ, ограничений через брандмауэр/UTM, шифрования каналов и многофакторной аутентификации (MFA) для удаленного доступа | PAM360, Endpoint Central | Контроль привилегированных сеансов, аудит RDP/удаленных входов в систему, контролируемая удаленная поддержка |
| Управление инцидентами | Банк должен внедрить процесс управления инцидентами в сфере информационной безопасности и документировать информацию об инцидентах | ADAudit Plus, Endpoint Central, PAM360 | Помогает собирать информацию о происшествиях, анализировать их причины, составлять отчеты и содействовать расследованиям |
Почему контроль конечных устройств важен для банка
Конечное устройство — это точка входа пользователя в банковскую инфраструктуру. С помощью ноутбука, рабочей станции или мобильного устройства сотрудник работает с почтой, документами, внутренними системами, VPN, службами поддержки и бизнес-приложениями.
Если устройство не контролируется, банк не имеет полной видимости:
- обновлена ли операционная система;
- работает ли агент защиты;
- не имеет ли пользователь избыточных прав;
- не используется ли нежелательное ПО;
- не подключаются ли неизвестные USB-носители;
- можно ли проверить историю доступов и изменений;
- готова ли инфраструктура к аудиту.
Именно поэтому контроль конечных устройств следует рассматривать не как отдельную техническую задачу, а как часть общей системы управления информационной безопасностью банка.
Вывод:
Постановление НБУ № 95 устанавливает требования к контролю доступа, рабочим станциям, серверам, оборудованию, подключаемому к сети банка, средствам защиты, обновлениям, съемным носителям, ведению журналов, многофакторной аутентификации (MFA), удаленному доступу и управлению инцидентами.
На практике выполнить эти требования без централизованных инструментов управления устройствами, доступом, обновлениями, журналами событий и привилегированными пользователями сложно.
Решения ManageEngine: Endpoint Central, Mobile Device Manager Plus, PAM360 и ADAudit Plus — могут помочь банкам усилить контроль над ИТ-инфраструктурой, снизить риски, подготовиться к аудиту и повысить уровень киберустойчивости.
Специалисты SOFTICO помогут подобрать решения ManageEngine для конкретной инфраструктуры банка, определить приоритетные направления внедрения и настроить инструменты для решения реальных задач информационной безопасности.
Связаться с нами
ООО «СОФТИКО»
Мы подберем оптимальные решения для вашего бизнеса и обеспечим поддержку на каждом этапе.
