ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
| 16.01.2021 № 4 |
Про затвердження Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг
( Із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", Законів України "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України", "Про електронні довірчі послуги", з метою нормативного врегулювання функції контролю за забезпеченням кіберзахисту, інформаційної безпеки, наданням електронних довірчих послуг у банківській системі України Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг (далі - Положення), що додається.
2. Департаменту безпеки (Ігор Коновалов) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.
3. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Кирила Шевченка.
4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
| Голова | К. Шевченко |
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
16.01.2021 № 4
ПОЛОЖЕННЯ
про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг
I. Загальні положення
1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України", "Про електронні документи та електронний документообіг", "Про електронну ідентифікацію та електронні довірчі послуги", з урахуванням регламенту Європейського парламенту і Ради (ЄС) від 14 грудня 2022 року № 2022/2554 щодо цифрової операційної стійкості фінансового сектору та внесення змін до Регламентів (ЄС) № 1060/2009, (ЄС) № 648/2012, (ЄС) № 600/2014, (ЄС) № 909/2014 та (ЄС) 2016/1011 , Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженого постановою Правління Національного банку України від 28 вересня 2017 року № 95 (далі - Положення № 95), Положення про кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру, затвердженого постановою Правління Національного банку України від 19 вересня 2019 року № 116 (зі змінами) (далі - Положення № 116), Положення про використання засобів криптографічного захисту інформації Національного банку України, затвердженого постановою Правління Національного банку України від 14 квітня 2023 року № 49 (далі - Положення № 49).
( Пункт 1 розділу I в редакції Постанови Національного банку № 24 від 25.02.2025 )
2. Це Положення встановлює:
1) порядок організації та здійснення Національним банком України (далі - Національний банк) заходів контролю за дотриманням банками вимог законодавства, яке регулює відносини у сферах кіберзахисту, інформаційної безпеки та електронних довірчих послуг, а також нормативно-правових актів Національного банку, що здійснюється на виконання покладених на Національний банк наглядових функцій (далі - контроль);
2) вимоги щодо проведення банком самооцінки стану інформаційної безпеки/кіберзахисту.
3. У цьому Положенні терміни вживаються в таких значеннях:
1) аудит інформаційної безпеки (далі - зовнішній аудит інформаційної безпеки) - процес одержання банком оцінки інформаційної безпеки за результатом проведення процедури аудиту інформаційної безпеки;
( Підпункт 1 пункту 3 розділу I в редакції Постанови Національного банку № 24 від 25.02.2025 )
1-1) безвиїзні заходи контролю - аналіз інформації, документів щодо діяльності банку з питань інформаційної безпеки, кіберзахисту, надання кваліфікованих електронних довірчих послуг, який проводиться Національним банком у порядку, установленому в розділі III цього Положення, без виходу за місцезнаходженням банку;
( Підпункт 1-1 пункту 3 розділу I в редакції Постанови Національного банку № 24 від 25.02.2025 )
2) дата перевірки - календарна дата, станом на яку здійснюється перевірка, за результатами якої інформація відображається в довідці про перевірку;
3) довгостроковий кваліфікований електронний підпис (далі - КЕП) - кваліфікований електронний підпис, що відповідає формату з повним набором даних для перевірки кваліфікованого електронного підпису в довгостроковому періоді (понад два роки);
4) інспекційна група - група працівників структурного підрозділу центрального апарату Національного банку, яка здійснює контроль за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та надання кваліфікованих електронних довірчих послуг (далі - Департамент), уповноважених на здійснення перевірки банку;
5) кіберризик - ризик виникнення збитків та/або додаткових втрат унаслідок реалізації кіберзагроз;
6) кіберстійкість - властивість інформаційної інфраструктури банку, забезпечувати функціонування бізнес-процесів банку, продуктом яких є банківські та фінансові послуги, під час кібератак і кіберінцидентів, яка має постійно підтримуватися органами управління банку шляхом організації управління кіберризиками та впровадження заходів кіберзахисту;
7) куратор перевірки - працівник Департаменту, визначений у розпорядчому акті Національного банку про проведення перевірки, який здійснює загальне керівництво процесом перевірки, координує вирішення питань, що виникають під час перевірки;
( Підпункт 8 пункту 3 розділу I виключено на підставі Постанови Національного банку № 24 від 25.02.2025 )
9) перевірка - планова перевірка банку з питань інформаційної безпеки, кіберзахисту, надання кваліфікованих електронних довірчих послуг, що проводиться інспекційною групою безпосередньо за його місцезнаходженням та/або за його межами шляхом віддаленого доступу до документів, інформації та систем автоматизації з використанням інформаційно-комунікаційних технологій;
( Підпункт 9 пункту 3 розділу I із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
10) позапланова перевірка - перевірка банку з питань інформаційної безпеки, кіберзахисту, надання електронних довірчих послуг, що проводиться за наявності обґрунтованих підстав відповідно до розпорядчого акта Національного банку інспекційною групою безпосередньо за його місцезнаходженням та/або за його межами шляхом віддаленого доступу до документів, інформації та систем автоматизації з використанням інформаційно-комунікаційних технологій;
( Підпункт 10 пункту 3 розділу I із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
11) програма перевірки - узагальнений перелік питань, що підлягають перевірці.
Інші терміни в цьому Положенні вживаються в значеннях, визначених у Законах України " Про електронну ідентифікацію та електронні довірчі послуги", "Про основні засади забезпечення кібербезпеки України", "Про банки і банківську діяльність" та нормативно-правових актах Національного банку.
( Абзац тринадцятий пункту 3 розділу I із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
4. Національний банк здійснює контроль з метою:
1) оцінювання ефективності функціонування системи управління інформаційною безпекою (далі - СУІБ) банку;
2) оцінювання повноти виконання банком вимог нормативно-правових актів Національного банку з питань інформаційної безпеки, кіберзахисту;
3) оцінювання рівня управління ризиками інформаційної безпеки/кіберризиками банком і системи внутрішнього контролю, яка функціонує на всіх організаційних рівнях, за напрямами діяльності, що перевіряються;
4) прийняття засвідчувальним центром рішення про внесення відомостей про кваліфікованого надавача електронних довірчих послуг до Довірчого списку;
( Підпункт 5 пункту 4 розділу I в редакції Постанови Національного банку № 24 від 25.02.2025 )
5. Національний банк здійснює контроль шляхом проведення:
1) виїзних заходів контролю у формі перевірок;
2) безвиїзних заходів контролю.
( Пункт 6 розділу I виключено на підставі Постанови Національного банку № 24 від 25.02.2025 )
7. Вимоги цього Положення поширюються на банки.
II. Організація та порядок проведення виїзних заходів контролю
8. Департамент здійснює планування виїзних заходів контролю на підставі ризик-орієнтованого підходу, що ґрунтується на результатах:
1) здійснення безвиїзних і виїзних заходів контролю;
2) аналізу інформації з офіційних джерел щодо діяльності банків;
3) аналізу інформації, документів, звітів, отриманих від банків на виконання цього Положення, Положення № 116, Положення № 49;
( Підпункт 3 пункту 8 розділу II в редакції Постанови Національного банку № 24 від 25.02.2025 )
4) опрацювання інформації про віднесення банку до об'єкта критичної інфраструктури;
5) опрацювання інформації про внесення відомостей про банк як кваліфікованого надавача електронних довірчих послуг до Довірчого списку;
6) опрацювання інформації щодо поточного рівня ризиків інформаційної безпеки/кіберризиків і його впливу на кіберстійкість банку з урахуванням наявної інформації про факти, події та обставини в його діяльності.
( Підпункт 6 пункту 8 розділу II із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
План перевірок затверджується Національним банком. Інформація щодо переліку банків, перевірки яких включено до затвердженого плану, оприлюднюється на сторінці офіційного Інтернет-представництва Національного банку.
( Абзац восьмий пункту 8 розділу II в редакції Постанови Національного банку № 24 від 25.02.2025 )
9. Перевірка банку проводиться на підставі розпорядчого акта Національного банку про проведення планової перевірки, у якому зазначаються найменування банку, що перевіряється, підстава для проведення перевірки, дата перевірки, терміни проведення перевірки (дати початку і закінчення), склад інспекційної групи та куратор перевірки (із зазначенням прізвищ, імен, по батькові, посад та номерів службових посвідчень).
Перевірка банку здійснюється відповідно до програми перевірки, яка оформляється як додаток до розпорядчого акта Національного банку про планову перевірку.
Національний банк має право включати в програму перевірки питання з перевірки банку як кваліфікованого надавача електронних довірчих послуг не раніше ніж через шість місяців з дня внесення відомостей про нього до Довірчого списку.
10. Національний банк має право проводити позапланову перевірку з метою термінового встановлення причин, обставин, масштабу негативного впливу на життєдіяльність банку та/або банківську систему в разі отримання документально підтвердженої інформації про:
1) інциденти інформаційної безпеки/кіберінциденти, наслідком яких є реалізована загроза для безпеки інформації банку та його клієнтів;
2) інциденти інформаційної безпеки/кіберінциденти, наслідки яких можуть спричинити системний ризик у банківській системі;
3) порушення вимог Положення № 116.
( Підпункт 3 пункту 10 розділу II в редакції Постанови Національного банку № 24 від 25.02.2025 )
Позапланова перевірка призначається за окремим дорученням Голови Національного банку та оформляється наказом Національного банку за його підписом (далі - наказ про позапланову перевірку).
У наказі про позапланову перевірку зазначаються найменування банку, що перевіряється, підстава/підстави для проведення перевірки, дата і терміни проведення перевірки (дати початку і закінчення), склад інспекційної групи та куратор перевірки (із зазначенням прізвищ, імен, по батькові, посад та номерів службових посвідчень), питання, які підлягають перевірці.
Під час проведення позапланової перевірки з'ясовуються лише ті питання, потреба перевірки яких стала підставою для здійснення цієї перевірки.
11. Національний банк повідомляє банк про проведення планової перевірки не пізніше ніж за 10 календарних днів до її початку.
( Абзац перший пункту 11 розділу II із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
Повідомлення про проведення планової перевірки оформляється листом в електронній формі Національного банку, який підписується керівником/заступником керівника Департаменту, надсилається до банку засобами електронної пошти Національного банку і містить інформацію про підстави для проведення перевірки, дату і терміни проведення перевірки (дати початку і закінчення), склад інспекційної групи та куратора перевірки (із зазначенням прізвищ, імен, по батькові, посад та номерів службових посвідчень), програму перевірки і може містити додатки (запити про надання документів, інформації, форми для заповнення).
Банк зобов'язаний своєчасно та в повному обсязі надати інформацію і документи (їх копії та/або витяги з них), зазначені в повідомленні про проведення планової перевірки, у визначеному форматі та в установлені Національним банком строки.
Національний банк здійснює позапланову перевірку із повідомленням керівника банку, що надсилається не пізніше дня початку такої перевірки.
12. Куратор перевірки або члени інспекційної групи під час проведення перевірки (планової або позапланової) у разі виникнення потреби в отриманні додаткової/додаткових інформації/документів, що стосується/стосуються перевірки, мають право запитувати в банку інформацію (в електронному або паперовому вигляді у визначених обсягах, форматі, структурі, порядку, термінах і носіях інформації), документи (їх копії та/або витяги з них) та письмові пояснення шляхом надання запиту у формі електронного документа (далі - запит) до вручення (надсилання) банку довідки про перевірку.
Запит складається на ім'я керівника банку, підписується за допомогою КЕП куратора перевірки та передається банку в електронній формі. Такий запит підлягає обов'язковій реєстрації банком у день отримання та поверненню з накладеними в день отримання (якщо такої можливості немає, то не пізніше наступного робочого дня) КЕП керівника банку та позначкою часу.
Банк у відповідь на запит зобов'язаний своєчасно та в повному обсязі надати достовірну інформацію, матеріали, документи (їх копії та/або витяги з них, засвідчені в порядку, установленому законодавством України) у визначених порядку, форматі, структурі, вигляді та збережені на визначених носіях. Інформація та документи мають надаватися у форматі та якості, які забезпечують безперешкодне та однозначне тлумачення даних, зазначених у них.
Інформація, документи (їх копії та/або витяги з них) у паперовій та/або електронній формі на визначених носіях інформації, письмові пояснення, підготовлені банком на запит, надаються за підписом керівника банку із супровідним листом. Такий супровідний лист підлягає обов'язковій реєстрації в банку.
13. Куратор перевірки та/або члени інспекційної групи фіксують факти ненадання банком інформації і документів (їх копій та/або витягів з них, засвідчених у порядку, установленому законодавством України), зазначених у повідомленні про проведення планової перевірки відповідно до пункту 11 розділу II цього Положення та/або зазначених у запиті відповідно до пункту 12 розділу II цього Положення, шляхом складання акта про ненадання інформації/документів. Такі факти відображаються в довідці про перевірку.
14. Зустріч куратора перевірки, членів інспекційної групи з керівником банку, відповідальною особою за інформаційну безпеку банку (Chief information security officer, CISO) проводиться в перший день планової/позапланової перевірки. Керівнику банку вручається копія наказу про планову/позапланову перевірку, засвідчена в порядку, установленому законодавством України, узгоджуються питання комунікації (уключаючи визначення контактної особи від банку), можливості обміну інформацією, а також інші організаційні питання.
15. Куратор перевірки і члени інспекційної групи під час проведення перевірки (планової або позапланової) банку мають право:
1) безперешкодного доступу до всіх оригіналів документів, матеріалів та інформації, також до тих, що становлять інформацію з грифами обмеження доступу, потрібних для перевірки, до системи автоматизації банку (уключаючи персоналізований доступ у режимі перегляду), інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг, інших систем та інформаційних ресурсів банку;
( Підпункт 1 пункту 15 розділу II із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
2) вільного доступу до всіх приміщень банку (уключаючи приміщення юридичних або фізичних осіб, із якими в банку є договірні відносини для виконання його функцій на умовах аутсорсингу, якщо такі приміщення використовуються для розміщення обладнання, що забезпечує функціонування інформаційних систем банку або роботу в системі електронних платежів Національного банку) у робочий час та неробочий час за потреби;
3) збирати та вимагати від банку надання будь-якої інформації, матеріалів, документів (їх копій та/або витягів з них, засвідчених у порядку, установленому законодавством України), письмових пояснень, потрібних для здійснення перевірки;
4) одержувати від банку та виносити за межі його приміщень матеріали перевірки, уключаючи копії документів, засвідчені в порядку, установленому законодавством України, що свідчать/можуть свідчити про порушення законодавства з питань інформаційної безпеки, кіберзахисту, надання електронних довірчих послуг, для здійснення наглядових дій у межах, передбачених цим Положенням заходів контролю;
5) користуватися потрібними для проведення перевірки та організації діяльності інспекційної групи технічними засобами, уключаючи комп'ютери, змінні носії інформації, програмні засоби, копіювальні апарати, сканери, телефони, заносити в приміщення та виносити з приміщення банку технічні та програмні засоби, що належать Національному банку;
6) вимагати від банку демонстрації та ознайомлення з функціональними можливостями і налаштуваннями системи автоматизації банку, інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг, інших систем та інформаційних ресурсів банка;
( Підпункт 6 пункту 15 розділу II із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
7) здійснювати із використанням техніки Національного банку фото-/відеофіксацію під час проведення процедури демонстрації, визначеної підпунктом 6 пункту 15 розділу II цього Положення;
( Пункт 15 розділу II доповнено новим підпунктом 7 згідно з Постановою Національного банку № 24 від 25.02.2025 )
8) призначати і проводити інтерв’ю з керівниками банку та працівниками структурних підрозділів банку, до сфери відповідальності яких належать питання інформаційної безпеки та кіберзахисту, управління інформаційно-комунікаційними технологіями, управління операційними ризиками банку.
( Пункт 15 розділу II доповнено новим підпунктом 8 згідно з Постановою Національного банку № 24 від 25.02.2025 )
Демонстрація, визначена підпунктом 6 пункту 15 розділу II цього Положення, проводиться за місцезнаходженням банку (у приміщеннях підрозділів банку, що здійснюють супроводження/адміністрування програмних, апаратних, програмно-апаратних засобів забезпечення інформаційної безпеки і кіберзахисту банку, та приміщеннях, пов’язаних із наданням електронних довірчих послуг) та/або за допомогою засобів відеозв’язку, і може супроводжуватися фото-/відеофіксацією фактів, що мають ознаки недотримання банком вимог законодавства з питань інформаційної безпеки, кіберзахисту, надання електронних довірчих послуг.
( Пункт 15 розділу II доповнено новим абзацом згідно з Постановою Національного банку № 24 від 25.02.2025 )
Інтерв’ю, зазначене в підпункті 8 пункту 15 розділу II цього Положення, проводиться за погодженням із куратором перевірки та попереднім повідомленням контактної особи від банку безпосередньо за місцезнаходженням банку або з використанням засобів відеозв’язку.
( Пункт 15 розділу II доповнено новим абзацом згідно з Постановою Національного банку № 24 від 25.02.2025 )
15-1. Матеріали (дані) фото-/відеофіксації, отримані відповідно до підпункту 7 пункту 15 розділу II цього Положення, долучаються до справи перевірки.
( Розділ II доповнено новим пунктом 15-1 згідно з Постановою Національного банку № 24 від 25.02.2025 )
16. Куратор перевірки і члени інспекційної групи під час проведення перевірки (планової або позапланової) банку зобов'язані:
1) дотримуватися вимог законодавства України;
2) не розголошувати та не використовувати в інший спосіб інформацію з обмеженим доступом, що стала їм відома у зв'язку з виконанням обов'язків, крім випадків, передбачених законодавством України;
3) дотримуватися норм етичної поведінки.
17. Керівник банку зобов'язаний виконувати вимоги куратора перевірки та членів інспекційної групи, зазначені в пункті 15 розділу II цього Положення, сприяти та не створювати перешкод проведенню перевірки (планової або позапланової), а також:
1) забезпечувати надання інформації і документів (їх копій та/або витягів з них, засвідчених у порядку, установленому законодавством України), зазначених у повідомленні про проведення планової перевірки відповідно до пункту 11 розділу II цього Положення та запиті відповідно до пункту 12 розділу II цього Положення;
2) забезпечити оперативний зв'язок куратора перевірки, членів інспекційної групи з контактною особою банку;
3) після отримання копії наказу про планову/позапланову перевірку цього банку, засвідченої в порядку, установленому законодавством України, забезпечити на період її проведення кураторові перевірки та кожному члену інспекційної групи вільний (на першу вимогу) вхід/вихід до/із службових приміщень банку протягом усього робочого дня, а за потреби в неробочий час;
4) забезпечити кураторові перевірки та членам інспекційної групи вільний доступ до всіх документів, інформації та матеріалів з питань, визначених у програмі перевірки банку;
5) виділити кураторові перевірки та членам інспекційної групи на період проведення перевірки окремі робочі місця в ізольованому від працівників банку та сторонніх осіб службовому приміщенні, що обладнане необхідними меблями, сейфом для зберігання документів, комп'ютерами і відповідає санітарно-гігієнічним умовам, установленим нормативно-правовими актами в цій сфері; забезпечити можливість користуватися телефоном, засобами копіювально-розмножувальної техніки. Доступ до зазначеного службового приміщення керівника та інших працівників банку, осіб, у яких таке приміщення перебуває у власності, оренді чи іншому праві користування, під час проведення перевірки здійснюється тільки в присутності членів інспекційної групи;
6) забезпечувати кураторові перевірки, членам інспекційної групи демонстрацію та ознайомлення з функціональними можливостями, налаштуваннями системи автоматизації банку, інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг, інших систем та інформаційних ресурсів;
( Підпункт 6 пункту 17 розділу II із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
7) забезпечувати членам інспекційної групи за запитом та наявністю технічної можливості персоналізований доступ у режимі перегляду до системи автоматизації банку та інформаційних систем, що використовуються для забезпечення безпеки інформації з процедурою ідентифікації, на підставі службового посвідчення працівника Національного банку;
8) забезпечувати коректну поведінку працівників банку під час проведення перевірки.
18. Члени інспекційної групи в разі створення представниками банку перешкод для проведення перевірки та/або незабезпечення керівником банку умов відповідно до пункту 16 розділу II цього Положення повідомляють про це куратора перевірки і складають акт про здійснення перешкод.
19. За результатами проведення планової або позапланової перевірки складається довідка про перевірку у двох примірниках, підписується членами інспекційної групи, куратором перевірки, керівником банку. Довідка про перевірку може складатися у формі електронного документа та підписуватися шляхом накладення КЕП.
Довідка про перевірку містить описову частину, висновки, що формуються на підставі отриманих результатів перевірки та з урахуванням професійного судження членів інспекційної групи, інформацію про виявлені порушення (факти, що можуть свідчити про здійснення банком ризикової діяльності), недоліки, які мають вплив на діяльність банку, може містити іншу інформацію щодо результатів перевірки, вимоги про усунення встановлених порушень та рекомендації банку.
Матеріали, які надані банком у відповідь на запит відповідно до пункту 12 розділу II цього Положення та підтверджують факти (дії, події, випадки, обставини), долучаються як матеріали перевірки до справи перевірки.
Члени інспекційної групи здійснюють перевірку відповідно до методичних рекомендацій щодо здійснення перевірок, схвалених розпорядчим актом Національного банку, надають висновки за результатом перевірки із застосуванням професійного судження та несуть відповідальність за достовірність відомостей і обґрунтованість висновків, викладених у довідці про перевірку.
20. Два примірники довідки про перевірку передаються керівникові банку для ознайомлення та підписання із зазначенням дати передавання та підпису про отримання на копії першого (титульного) листа довідки про перевірку, який залишається в одного з членів інспекційної групи.
Керівник банку зобов'язаний не пізніше ніж на третій робочий день з дати отримання довідки про перевірку ознайомитися з інформацією, викладеною в довідці, підписати обидва примірника довідки власноручно, зазначивши дату й позначку "ознайомлений", повернути перший примірник довідки інспекційній групі.
Довідка про перевірку, яка складається в електронній формі, після підписання членами інспекційної групи (шляхом накладання КЕП) передається банку засобами системи електронної пошти Національного банку з обов'язковою реєстрацією банком у день отримання.
Керівник банку зобов'язаний не пізніше ніж на третій робочий день з дати отримання довідки про перевірку в електронній формі:
1) розглянути і підписати довідку шляхом накладання КЕП;
2) повернути інспекційній групі довідку в електронній формі з накладеним КЕП керівника банку;
3) надіслати лист із накладеним КЕП до Національного банку на ім'я куратора перевірки з інформацією про ознайомлення з довідкою про перевірку засобами системи електронної пошти Національного банку.
21. Керівник банку в разі наявності заперечень щодо відомостей і висновків, викладених у довідці про перевірку, має право одночасно із поверненням підписаного ним першого примірника довідки надати обґрунтовані письмові заперечення (пояснення) із документальним підтвердженням (у разі їх наявності), які є невід'ємною частиною довідки про перевірку. Довідка про перевірку в такому випадку доповнюється відміткою "із запереченнями (поясненнями)".
Керівник банку в разі подання довідки про перевірку в електронній формі за наявності заперечень щодо фактів і висновків, викладених у довідці про перевірку, має право не пізніше ніж на третій робочий день надіслати лист із накладеним КЕП кураторові перевірки з обґрунтованими запереченнями (поясненнями) із документальним підтвердженням (за їх наявності) засобами системи електронної пошти Національного банку.
Надання банком заперечень до довідки про перевірку не звільняє банк від визначених законодавством України, а також нормативно-правовими актами Національного банку обов'язків, виконання яких пов'язане з фактом отримання банком довідки про перевірку.
22. Власником довідки про перевірку, додатків до неї та інших матеріалів перевірки з моменту їх отримання уповноваженими на перевірку працівниками Національного банку є виключно Національний банк. Довідка про перевірку разом із додатками та інші матеріали перевірки становлять інформацію з обмеженим доступом. Усі документи, складені Національним банком із використанням та/або на підставі інформації, що міститься в довідці про перевірку банку, додатках до неї, інших матеріалах перевірки, становлять інформацію з обмеженим доступом, яка відповідно до законодавства України не має доводитися до відома осіб, яких вона стосується, та поширюються Національним банком у порядку, визначеному законодавством України.
23. Банк за результатами перевірки протягом 30 робочих днів з дня підписання керівником банку довідки про перевірку зобов'язаний подати до Національного банку на погодження план заходів, що має містити інформацію про дієві заходи, що будуть здійснені банком для усунення встановлених порушень, недоліків, урахування наданих рекомендацій із визначенням відповідальних осіб банку та строків їх виконання (далі - План заходів).
24. Банк зобов'язаний подавати до Національного банку звіт про стан виконання погодженого Національним банком Плану заходів, що містить перелік ужитих банком заходів щодо усунення порушень, недоліків, урахування наданих рекомендацій, у строк (період), обсязі, за форматом та структурою, визначеними Національним банком за результатом погодження Плану заходів.
25. Департамент має право вносити на засідання Комітету з питань нагляду та регулювання діяльності банків, оверсайта платіжної інфраструктури інформацію про результати проведеної перевірки банку і пропозиції щодо застосування/незастосування до банку адекватних заходів впливу для прийняття цим Комітетом відповідного рішення.
( Пункт 25 розділу II із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
26. Результати перевірки питань, визначених підпунктом 5 пункту 4 розділу I цього Положення, надаються засвідчувальному центру для прийняття рішення щодо:
1) надсилання кваліфікованому надавачу електронних довірчих послуг листа про усунення встановлених перевіркою порушень/недоліків;
2) інформування спеціального уповноваженого центрального органу виконавчої влади з питань організації спеціального зв’язку та захисту інформації у сферах електронних довірчих послуг та електронної ідентифікації про виявлені порушення вимог Положення № 116 для здійснення заходів відповідно до вимог законодавства у сфері електронних довірчих послуг.
( Пункт 26 розділу II в редакції Постанови Національного банку № 24 від 25.02.2025 )
III. Організація проведення безвиїзних заходів контролю
27. Департамент здійснює безвиїзні заходи контролю з питань інформаційної безпеки, кіберзахисту та надання кваліфікованих електронних довірчих послуг шляхом проведення аналізу дотримання банком вимог законодавства України на підставі:
1) довідки про перевірку, матеріалів перевірки банку, Плану заходів;
2) інформації, документів (їх копій та/або витягів із них, засвідчених у порядку, установленому законодавством України) у паперовій та/або електронній формі щодо усунення банком порушень/недоліків і виконання рекомендацій, отриманих від банку;
3) інформації, звітів, отриманих від банку, уключаючи відомості за результатами проведення зовнішніх незалежних аудитів інформаційної безпеки;
4) інформації та документів, отриманих від підрозділів Національного банку, суб'єктів забезпечення кібербезпеки, інших державних органів, а також іншої інформації та документів, отриманих Національним банком під час виконання ним своїх функцій;
5) інформації та документів, отриманих від Центру кіберзахисту Національного банку, засвідчувального центру.
28. Національний банк має право вимагати від банку надання інформації для здійснення безвиїзних заходів контролю шляхом направлення запиту. Запит оформляється в електронній формі у вигляді службового листа Національного банку, підписується керівником/заступником керівника Департаменту шляхом накладення КЕП та надсилається засобами системи електронної пошти Національного банку. Керівник банку зобов'язаний забезпечити надання на запит Національного банку достовірної інформації у вигляді письмових пояснень, документів у електронній або паперовій формі, у спосіб, строк, в обсязі, за форматом та структурою, визначеними в такому запиті.
28-1.Банк зобов’язаний інформувати Національний банк про істотні зміни в організації інформаційної безпеки та кіберзахисту банку, пов’язані з:
1) звільненням або переміщенням на іншу посаду/призначенням CISO;
2) змінами в розподілі функцій, обов’язків і повноважень органів управління та контролю банку в частині питань інформаційної безпеки та кіберзахисту;
3) змінами в організаційній структурі банку в частині підрозділів, до функцій яких належить забезпечення інформаційної безпеки та кіберзахисту банку;
4) ухваленням рішення щодо запровадження нового продукту або значних змін у діяльності банку, що матимуть вплив на організацію інформаційної безпеки та кіберзахисту банку;
5) ухваленням рішення щодо передачі на аутсорсинг функцій із забезпечення інформаційної безпеки/кіберзахисту банку або зміни постачальника таких послуг.
Банк здійснює таке інформування шляхом подання повідомлення засобами системи електронної пошти Національного банку за формою згідно з додатком 1 до цього Положення протягом п’яти робочих днів із дня запровадження таких змін.
( Розділ III доповнено новим пунктом 28-1 згідно з Постановою Національного банку № 24 від 25.02.2025 )
29. Банк, що має намір стати кваліфікованим надавачем довірчих послуг, у заяві про внесення до Довірчого списку зазначає про готовність надавати кваліфіковані довірчі послуги. Засвідчувальний центр за результатами аналізу інформації, наведеної в заяві про внесення до Довірчого списку, приймає рішення про внесення відомостей про банк як кваліфікованого надавача до Довірчого списку (або відмову у внесенні відомостей до Довірчого списку) відповідно до вимог Положення № 116 і регламенту роботи засвідчувального центру. Виконання банком - кваліфікованим надавачем електронних довірчих послуг вимог Положення № 116 перевіряється під час планової перевірки.
IV. Вимоги щодо проведення банком самооцінки стану інформаційної безпеки/кіберзахисту
30. Банк зобов'язаний проводити щорічну самооцінку стану інформаційної безпеки/кіберзахисту шляхом складання щорічного Звіту з питань оцінювання процесів організації та забезпечення інформаційної безпеки/кіберзахисту (далі - Звіт) із урахуванням відомостей за результатами періодичного проведення:
1) оцінювання ризиків інформаційної безпеки/кіберзахисту;
2) оцінювання результативності інформаційної безпеки та ефективності СУІБ;
3) зовнішнього аудиту інформаційної безпеки;
4) внутрішнього аудиту інформаційної безпеки/кіберзахисту (далі -внутрішній аудит).
( Пункт 30 розділу IV із змінами, внесеними згідно з Постановою Національного банку № 24 від 25.02.2025 )
31. Керівник банку зобов’язаний забезпечити надання повної та достовірної інформації у Звіті, складеному за формою згідно з додатком 2 до цього Положення, та своєчасне подання Звіту до Національного банку.
( Пункт 31 розділу IV в редакції Постанови Національного банку № 24 від 25.02.2025 )
31-1. Звіт подається до Національного банку в формі електронного документа у форматі xlsx з накладеним КЕП керівника банку засобами системи електронної пошти Національного банку з урахуванням вимог, установлених Національним банком щодо пересилання документів із грифом обмеження доступу.
( Розділ IV доповнено новим пунктом 31-1 згідно з Постановою Національного банку № 24 від 25.02.2025 )
31-2. Звіт складається щорічно станом на 31 березня та подається до Національного банку протягом одного місяця, наступного за звітним періодом.
( Розділ IV доповнено новим пунктом 31-2 згідно з Постановою Національного банку № 24 від 25.02.2025 )
32. Керівник банку організовує проведення зовнішнього аудиту (з метою одержання банком оцінки інформаційної безпеки) відповідно до законодавства в сфері захисту інформації та кібербезпеки. Така оцінка використовується банком для забезпечення своєчасного моніторингу стану впровадження та ефективності функціонування СУІБ банку, визначення можливостей вдосконалення та потреби проведення коригувальних дій та ураховується Національним банком під час планування заходів контролю.
Вимоги до проведення незалежного аудиту інформаційної безпеки встановлюються відповідним нормативно-правовим актом Національного банку.
( Додаток виключено на підставі Постанови Національного банку № 24 від 25.02.2025 )
Додаток 1
до Положення про здійснення
контролю за дотриманням
банками вимог законодавства з
питань інформаційної безпеки,
кіберзахисту та електронних
довірчих послуг
(пункт 28- 1 розділу III)
Повідомлення про істотні зміни в організації інформаційної безпеки та кіберзахисту
( Див. текст )( Положення доповнено новим додатком згідно з Постановою Національного банку № 24 від 25.02.2025 )
Додаток 2
до Положення про здійснення
контролю за дотриманням
банками вимог законодавства з
питань інформаційної безпеки,
кіберзахисту та електронних
довірчих послуг
(пункт 31 розділу IV)
Оцінювання процесів організації та забезпечення інформаційної безпеки/кіберзахисту
( Див. текст )( Положення доповнено новим додатком згідно з Постановою Національного банку № 24 від 25.02.2025 )