Національний банк Украйни просить банки звернути "особливу увагу на людські джерела загроз, які можуть мати різну мотивацію від політичних причин до простого самоствердження. Найбільш вірогідними та найбільш серйозними можна вважати загрози від інсайдерів - працівників банку, в тому числі ті загрози, які можуть виникати від недостатньої обізнаності персоналу в питаннях інформаційної безпеки". Про це йдеться в проекті "Методики оцінок ризиків інформаційної безпеки" НБУ, текст якого має РБК-Україна.
Ці методичні рекомендації щодо управління ризиками інформаційної безпеки були розроблені на основі міжнародного стандарту ISO/IEC 27005 "Information technology - Security techniques - Information security risk management" (Управління ризиками інформаційної безпеки) з урахуванням особливостей банківської діяльності, стандартів та вимог Національного банку України з питань інформаційної безпеки.
Згідно з проектом, управління інформаційними ризиками повинно включати: ризики повинні бути ідентифікованими; ризики повинні бути оцінені у термінах впливу на бізнес та вірогідності їх появи; вірогідності та впливи цих ризиків повинні бути пов'язаними та зрозумілими; повинні бути встановлені порядок та пріоритети оброблення ризиків; повинні бути встановлені пріоритети виконання дій щодо зменшення ризиків; керівництво повинно приймати участь в процесі прийняття рішень щодо управління ризиками і бути поінформовано щодо стану справ в управлінні ризиками; для ризиків і процесу управління ризиками повинен виконуватися ефективний моніторинг та вони повинні регулярно переглядатися; керівництво та персонал повинні бути обізнаними щодо ризиків та дій щодо їх оброблення.
Процес управління ризиками інформаційної безпеки повинен здійснюватися для банку в цілому.