Постанова НБУ №95: як банкам посилити контроль пристроїв, доступу та кіберстійкість з ManageEngine
5-7 хв.
26.05.2026
Вступ
Фінансовий сектор працює з критично важливими даними, платіжною інфраструктурою, віддаленим доступом, корпоративними пристроями та обліковими записами з різними рівнями прав. У такому середовищі інформаційна безпека не може обмежуватися лише антивірусом або захистом периметра.
Для банків в Україні одним із ключових нормативних документів у сфері інформаційної безпеки є Постанова Правління НБУ від 28.09.2017 №95, якою затверджено Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України. Документ є чинним і встановлює обов’язкові мінімальні вимоги до організації заходів інформаційної безпеки та кіберзахисту.
Важливо: Постанова №95 містить вимоги до робочих станцій, серверів, обладнання, що підключається до мережі банку, централізованого управління захистом, контролю доступу, журналювання подій, оновлень безпеки та управління інцидентами. Саме ці вимоги на практиці створюють потребу в централізованому контролі кінцевих пристроїв.
Що таке Постанова НБУ №95 та яка її мета?
Постанова НБУ №95 затверджує Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України. Її мета — встановити вимоги до організації інформаційної безпеки та кіберзахисту банків з урахуванням актуальних кіберзагроз.
Документ визначає:
- обов’язкові мінімальні вимоги до організації заходів інформаційної безпеки та кіберзахисту;
- принципи управління інформаційною безпекою;
- вимоги до інформаційних систем банку, які взаємодіють з інформаційними системами НБУ.
Постанова також передбачає впровадження системи управління інформаційною безпекою відповідно до ДСТУ ISO/IEC 27001:2015 та застосування ризик-орієнтованого підходу.
Хто підпадає під вимоги Постанови?
Основна дія Постанови №95 поширюється на банки. Водночас окремі вимоги розділу III також поширюються на небанківські установи, які є учасниками інформаційних систем Національного банку України.
Тому ця тема насамперед актуальна для:
- банків;
- фінансових установ, які взаємодіють з інформаційними системами НБУ;
- ІТ-директорів і CISO в банківському секторі;
- команд інформаційної безпеки;
- ІТ-відділів, які відповідають за робочі станції, сервери, доступи, оновлення та журнали подій;
- відповідальних за аудит, комплаєнс і управління ризиками.
Самодіагностика: «Де ви зараз?»
Перед впровадженням або оновленням засобів інформаційної безпеки банку варто оцінити поточний стан ІТ-інфраструктури.
Дайте відповідь на 10 запитань:
- Чи має банк актуальний перелік робочих станцій, ноутбуків, серверів і мобільних пристроїв?
- Чи можна швидко визначити, які пристрої підключаються до мережі банку?
- Чи контролюється наявність і коректна робота агентів захисту на робочих станціях і серверах?
- Чи є централізований процес встановлення оновлень безпеки для операційних систем?
- Чи контролюються змінні носії інформації, зокрема USB-пристрої?
- Чи є політики обмеження локальних адміністраторів і надлишкових прав користувачів?
- Чи використовується багатофакторна автентифікація для адміністративного або віддаленого доступу?
- Чи журналюються дії щодо надання, зміни або скасування доступу?
- Чи є централізований моніторинг подій, пов’язаних з доступом, змінами, інцидентами та пристроями?
- Чи можна швидко сформувати звіт для внутрішнього аудиту або перевірки?
Якщо більшість відповідей — “ні” або “частково”, інфраструктура може потребувати додаткових інструментів контролю, автоматизації та звітності.
Комплексний підхід від SOFTICO
Як офіційний реселер рішень ManageEngine в Україні, компанія SOFTICO допомагає банкам та фінансовим установам підібрати інструменти для задач інформаційної безпеки, ІТ-адміністрування та комплаєнсу. Рішення ManageEngine можуть бути корисними для централізованого управління пристроями, контролю оновлень, аудиту дій користувачів, моніторингу доступів, управління привілейованими обліковими записами та підготовки звітності для внутрішніх і зовнішніх перевірок.
Важливо розуміти: жодне програмне рішення саме по собі не гарантує повної відповідності Постанові НБУ №95. Відповідність залежить від політик банку, процесів, налаштувань, відповідальних осіб, аудиту, навчання персоналу та регулярного контролю.
Проте рішення ManageEngine можуть допомогти технічно реалізувати частину вимог, пов’язаних із контролем кінцевих пристроїв, доступів, оновлень, журналів подій, привілейованих облікових записів та інцидентів.
Ключові рішення для банківської інфраструктури
ManageEngine Endpoint Central
Рішення для уніфікованого управління кінцевими пристроями та захисту робочих станцій, ноутбуків і серверів. Допомагає централізовано керувати оновленнями, усувати вразливості, контролювати захист від шкідливого ПЗ, керувати застосунками, правами користувачів, ІТ-активами, конфігураціями, віддаленим доступом, а також формувати звіти для аудиту.
ManageEngine Mobile Device Manager Plus
Рішення для управління мобільними пристроями Apple, Android, Windows і Chrome. Дозволяє централізовано керувати корпоративними та BYOD-пристроями, застосовувати політики безпеки, контролювати мобільні застосунки, налаштовувати корпоративну пошту, виконувати віддалене усунення проблем, вести облік пристроїв, керувати контентом і формувати звіти для аудиту.
ManageEngine PAM360
Рішення для управління привілейованим доступом до критичних систем. Допомагає контролювати облікові записи адміністраторів, впроваджувати принцип мінімальних привілеїв, керувати тимчасовим підвищенням прав, забезпечувати безпечний віддалений доступ, моніторити привілейовані сесії та формувати звіти для аудиту й комплаєнсу.
ManageEngine ADAudit Plus
Рішення для аудиту Active Directory, Windows Server, робочих станцій, файлових серверів і дій користувачів. Дозволяє відстежувати входи користувачів, зміни в облікових записах, дії привілейованих користувачів, зміни у файлах, групових політиках і правах доступу, а також контролювати події, пов’язані зі змінними носіями та віддаленим доступом.
Таблиця відповідності вимогам НБУ №95 і рішенням ManageEngine
Нижче наведена детальна матриця відповідності рішень ManageEngine конкретним вимогам НБУ.
| Напрям вимог Постанови №95 | Що передбачає офіційний документ | Рішення ManageEngine | Як може допомогти |
|---|---|---|---|
| СУІБ і ризик-орієнтований підхід | Банк має впровадити СУІБ відповідно до ДСТУ ISO/IEC 27001:2015 та запровадити процес управління ризиками ІБ | Endpoint Central, ADAudit Plus, PAM360 | Дає дані для контролю, звітності, аналізу ризиків і підтвердження виконання політик |
| Контроль доступу | Постанова вимагає документи щодо використання, надання, скасування та контролю доступу, включно з віддаленим доступом | PAM360, ADAudit Plus | Допомагає контролювати привілейований доступ, фіксувати дії користувачів і формувати audit-звіти |
| Мінімальні привілеї | Банк має дотримуватися принципу мінімального рівня повноважень, включно з привілейованими користувачами | PAM360, Endpoint Central | Дозволяє обмежувати надлишкові права, контролювати адміністративні доступи, застосовувати тимчасове підвищення привілеїв |
| MFA для адміністрування | Постанова вимагає MFA під час надання доступу для адміністрування або супроводження САБ | PAM360 | Допомагає посилити контроль привілейованих підключень і доступів |
| Журналювання доступу | Документ вимагає протоколювання дій щодо надання, скасування або зміни доступу та зберігання журналів | ADAudit Plus, PAM360 | Забезпечує аудит дій користувачів, адміністраторів, змін у AD, GPO, файлах і доступах |
| Захист від зловмисного коду | Постанова вимагає централізованого управління захистом, оновленнями, журналами та контролем агентів на робочих станціях і серверах | Endpoint Central | Допомагає контролювати стан пристроїв, агенти, оновлення, конфігурації та формувати звіти |
| Контроль робочих станцій і серверів | В документі прямо згадується про робочі станції та сервери в контексті засобів захисту, оновлень і агентів | Endpoint Central | Інвентаризація, patch management, контроль ПЗ, конфігурацій, вразливостей і стану пристроїв |
| Ідентифікація обладнання в мережі | Банк має забезпечити ідентифікацію обладнання, що підключається до мережі банку | Endpoint Central | Допомагає вести інвентаризацію пристроїв і контролювати endpoints у корпоративному середовищі |
| Змінні носії інформації | Постанова вимагає контролю, ідентифікації, обмеження використання та перевірки змінних носіїв | Endpoint Central, ADAudit Plus | Device control, аудит USB-подій, контроль доступу до змінних носіїв |
| Оновлення безпеки ОС | Банк має використовувати інструменти централізованого моніторингу та застосування оновлень безпеки для ОС | Endpoint Central | Автоматизоване сканування, тестування та розгортання оновлень ОС і застосунків |
| Віддалений доступ | Постанова вимагає DMZ, обмеження через firewall/UTM, шифрування каналів і MFA для віддаленого доступу | PAM360, Endpoint Central | Контроль привілейованих сесій, аудит RDP/віддалених логонів, контрольована віддалена підтримка |
| Управління інцидентами | Банк має впровадити процес управління інцидентами ІБ і документувати інформацію про інциденти | ADAudit Plus, Endpoint Central, PAM360 | Допомагає збирати події, аналізувати причини, формувати звіти та підтримувати розслідування |
Чому контроль кінцевих пристроїв важливий для банку
Кінцевий пристрій — це точка входу користувача до банківської інфраструктури. Через ноутбук, робочу станцію або мобільний пристрій співробітник працює з поштою, документами, внутрішніми системами, VPN, сервісами підтримки та бізнес-застосунками.
Якщо пристрій не контролюється, банк не має повної видимості:
- чи оновлена операційна система;
- чи працює агент захисту;
- чи не має користувач надлишкових прав;
- чи не використовується небажане ПЗ;
- чи не підключаються невідомі USB-носії;
- чи можна перевірити історію доступів і змін;
- чи готова інфраструктура до аудиту.
Саме тому контроль кінцевих пристроїв варто розглядати не як окрему технічну задачу, а як частину загальної системи управління інформаційною безпекою банку.
Висновок:
Постанова НБУ №95 встановлює вимоги до контролю доступу, робочих станцій, серверів, обладнання, що підключається до мережі банку, засобів захисту, оновлень, змінних носіїв, журналювання, MFA, віддаленого доступу та управління інцидентами.
На практиці виконати ці вимоги без централізованих інструментів управління пристроями, доступами, оновленнями, журналами подій і привілейованими користувачами складно.
Рішення ManageEngine: Endpoint Central, Mobile Device Manager Plus, PAM360 та ADAudit Plus — можуть допомогти банкам посилити контроль ІТ-інфраструктури, зменшити ризики, підготуватися до аудиту та підвищити рівень кіберстійкості.
Фахівці SOFTICO можуть допомогти підібрати рішення ManageEngine під конкретну інфраструктуру банку, визначити пріоритетні напрями впровадження та налаштувати інструменти для реальних задач інформаційної безпеки.
Зв’язатися з нами
ТОВ “СОФТІКО”
Ми підберемо оптимальні рішення для вашого бізнесу та забезпечимо підтримку на кожному етапі.
