ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
| 30.11.2020 № 151 |
Про затвердження Положення про визначення об'єктів критичної інфраструктури в банківській системі України
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України" , з метою забезпечення реалізації вимог Закону України "Про основні засади забезпечення кібербезпеки України" щодо визначення об'єктів критичної інфраструктури та об'єктів критичної інформаційної інфраструктури в банківській системі України Правління Національного банку України
ПОСТАНОВЛЯЄ:
1. Затвердити Положення про визначення об'єктів критичної інфраструктури в банківській системі України (далі - Положення), що додається.
2. Департаменту безпеки (Ігор Коновалов) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови для використання в роботі.
3. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Кирила Шевченка.
4. Постанова набирає чинності з дня її офіційного опублікування.
| Голова | К. Шевченко |
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
30 листопада 2020 року № 151
ПОЛОЖЕННЯ
про визначення об'єктів критичної інфраструктури в банківській системі України
1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про основні засади забезпечення кібербезпеки України", з метою врегулювання питань кіберзахисту в банківській системі України.
2. Це Положення встановлює критерії та порядок віднесення банків України до об'єктів критичної інфраструктури в банківській системі України та визначає інформаційні системи банків, віднесених до об'єктів критичної інформаційної інфраструктури.
3. Терміни, що використовуються в цьому Положенні, уживаються в таких значеннях:
1) об'єкт критичної інфраструктури в банківській системі України - банки України, стале функціонування яких забезпечує стабільність банківської системи, має суттєве значення для економіки та безпеки держави, функціонування суспільства та які становлять значний суспільний інтерес;
2) об'єкт критичної інформаційної інфраструктури - інформаційна система об'єкта критичної інфраструктури в банківській системі України, кібератака на яку безпосередньо вплине на стале функціонування такого об'єкта критичної інфраструктури;
3) перелік об'єктів критичної інфраструктури - зведений перелік банків, які відповідно до вимог цього Положення віднесено Національним банком України (далі - Національний банк) до об'єктів критичної інфраструктури в банківській системі України;
4) реєстр об'єктів критичної інформаційної інфраструктури - це відомості про інформаційні системи, які відповідно до вимог цього Положення віднесено до об'єктів критичної інформаційної інфраструктури.
Інші терміни в цьому Положенні використовуються в значеннях, визначених Законами України "Про Національний банк України", "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України" та нормативно-правовими актами Національного банку.
4. Вимоги цього Положення поширюються на банки України.
5. До об'єктів критичної інфраструктури в банківській системі Україні в частині забезпечення кібербезпеки та стабільності банківської системи належать:
1) Національний банк;
2) банки, які відповідають хоча б одному з таких критеріїв: банк, який включено до переліку системно важливих банків;
банк, який включено до переліку банків України, уповноважених для роботи (здійснення операцій) в особливий період;
банк, у якому держава прямо чи опосередковано володіє часткою понад 75% від статутного капіталу банку.
6. Національний банк формує перелік об'єктів критичної інфраструктури в банківській системі України відповідно до критеріїв, визначених у підпункті 2 пункту 5 цього Положення.
Перелік об'єктів критичної інфраструктури в банківській системі України затверджується відповідним рішенням Правління Національного банку.
7. Національний банк інформує банк про його включення до переліку об'єктів критичної інфраструктури в банківській системі України у формі листа.
8. До об'єктів критичної інформаційної інфраструктури об'єктів критичної інфраструктури в банківській системі України належать:
1) система автоматизації банку;
2) інформаційна система кваліфікованого надавача електронних довірчих послуг;
3) внутрішньобанківська міжфілійна платіжна система;
4) система дистанційного обслуговування;
5) система депозитарного обліку цінних паперів банку.
9. Банк зобов'язаний віднести до об'єктів критичної інформаційної інфраструктури (крім визначених у пункті 8 цього Положення) також інші інформаційні системи, кіберінцидент або кібератака на які може суттєво вплинути на стале функціонування банку.
10. Банк зобов'язаний протягом місяця з дня отримання повідомлення про включення до переліку об'єктів критичної інфраструктури в банківський системі України затвердити внутрішнім документом перелік інформаційних систем банку, віднесених до об'єктів критичної інформаційної інфраструктури, та надати цей перелік Національному банку.
Банк зобов'язаний підтримувати в актуальному стані перелік інформаційних систем банку, віднесених до об'єктів критичної інформаційної інфраструктури, та невідкладно надавати оновлену інформацію Національному банку.
11. Банки щороку переглядають перелік інформаційних систем банку, віднесених до об'єктів критичної інформаційної інфраструктури, та забезпечують його актуальність. Про результати перегляду та внесені зміни банки інформують Національний банк щороку, до 20 грудня.
12. Банки, віднесені до об'єктів критичної інфраструктури в банківській системі України, зобов'язані надавати протягом місяця після затвердження власного переліку об'єктів критичної інформаційної інфраструктури Національному банку відомості про об'єкти критичної інформаційної інфраструктури для внесення до реєстру об'єктів критичної інформаційної інфраструктури в банківській системі України за формою, наведеною в додатку до цього Положення.
Додаток
до Положення про визначення
об'єктів критичної інфраструктури в
банківській системі України
(пункт 12)
ВІДОМОСТІ,
які подаються до реєстру власником об'єкта критичної інфраструктури в банківській системі України
1. Повна назва об'єкта критичної інфраструктури, до складу якого входять об'єкти критичної інформаційної інфраструктури, місцезнаходження юридичної особи (юридична адреса), форма власності, код за ЄДРПОУ.
2. Повна назва об'єкта критичної інформаційної інфраструктури, його призначення та перелік основних банківських та фінансових послуг, надання яких він забезпечує, кількість користувачів.
3. Адреса фактичного розташування технологічної платформи об'єкта критичної інформаційної інфраструктури (інформація про власника технологічної платформи, будівлі і споруди, де вона розміщується).
4. Вид інформації за порядком доступу, яка обробляється на об'єкті критичної інформаційної інфраструктури (банківська, комерційна таємниці, персональні дані).
5. Наявність підключення об'єкта критичної інформаційної інфраструктури до інших об'єктів критичної інформаційної інфраструктури та інформаційно-телекомунікаційних систем з інформацією про їх власників.
6. Повна інформація про надавача (надавачів) послуг з доступу до мережі Інтернет відповідно до договору отримання власником об'єкта критичної інфраструктури цих послуг.
7. Відомості про виконання вимог з питань інформаційної безпеки та кіберзахисту, визначених законодавчими актами та/або нормативно-правовими актами Національного банку з питань інформаційної безпеки та кіберзахисту.
