ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
| 25 лютого 2025 року № 24 |
Про затвердження Змін до деяких нормативно-правових актів Національного банку України з питань інформаційної безпеки та кіберзахисту
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", Законів України "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України", "Про електронну ідентифікацію та електронні довірчі послуги", з метою нормативного врегулювання функції контролю за забезпеченням кіберзахисту, інформаційної безпеки, наданням електронних довірчих послуг у банківській системі України Правління Національного банку України постановляє:
1. Затвердити Зміни до:
1) Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг, затвердженого постановою Правління Національного банку України від 16 січня 2021 року № 4, що додаються;
2) Положення про організацію кіберзахисту в банківськй системі України, затвердженого постановою Правління Національного банку України від 12 серпня 2022 року № 178, що додаються.
2. Департаменту безпеки (Олександр Паламарчук) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.
3. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Андрія Пишного.
4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
| Голова | Андрій ПИШНИЙ |
Інд. 56
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
25 лютого 2025 року № 24
Зміни до Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг
( Див. текст )
1. У розділі I:
1) пункт 1 викласти в такій редакції:
"1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність", "Про основні засади забезпечення кібербезпеки України", "Про електронні документи та електронний документообіг", "Про електронну ідентифікацію та електронні довірчі послуги", з урахуванням регламенту Європейського парламенту і Ради (ЄС) від 14 грудня 2022 року № 2022/2554 щодо цифрової операційної стійкості фінансового сектору та внесення змін до Регламентів (ЄС) № 1060/2009, (ЄС) № 648/2012, (ЄС) № 600/2014, (ЄС) № 909/2014 та (ЄС) 2016/1011, Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженого постановою Правління Національного банку України від 28 вересня 2017 року № 95 (далі - Положення № 95), Положення про кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру, затвердженого постановою Правління Національного банку України від 19 вересня 2019 року № 116 (зі змінами) (далі - Положення № 116), Положення про використання засобів криптографічного захисту інформації Національного банку України, затвердженого постановою Правління Національного банку України від 14 квітня 2023 року № 49 (далі - Положення № 49).";
2) у пункті 3:
підпункт 1 замінити двома новими підпунктами такого змісту:
"1) аудит інформаційної безпеки (далі - зовнішній аудит інформаційної безпеки) - процес одержання банком оцінки інформаційної безпеки за результатом проведення процедури аудиту інформаційної безпеки;
1-1) безвиїзні заходи контролю - аналіз інформації, документів щодо діяльності банку з питань інформаційної безпеки, кіберзахисту, надання кваліфікованих електронних довірчих послуг, який проводиться Національним банком у порядку, установленому в розділі III цього Положення, без виходу за місцезнаходженням банку;";
підпункт 8 виключити;
підпункти 9, 10 доповнити словами "та/або за його межами шляхом віддаленого доступу до документів, інформації та систем автоматизації з використанням інформаційно-комунікаційних технологій;";
в абзаці тринадцятому слова "Про електронні довірчі послуги" замінити словами "Про електронну ідентифікацію та електронні довірчі послуги";
3) підпункт 5 пункту 4 викласти в такій редакції:
4) пункт 6 виключити.
2. У розділі II:
1) у пункті 8:
підпункт 3 викласти в такій редакції:
"3) аналізу інформації, документів, звітів, отриманих від банків на виконання цього Положення, Положення № 116, Положення № 49;";
у підпункті 6 слово "висновків" замінити словом "інформації";
абзац восьмий викласти в такій редакції:
"План перевірок затверджується Національним банком. Інформація щодо переліку банків, перевірки яких включено до затвердженого плану, оприлюднюється на сторінці офіційного Інтернет-представництва Національного банку.";
2) підпункт 3 пункту 10 викласти в такій редакції:
"3) порушення вимог Положення № 116.";
3) в абзаці першому пункту 11 цифри "20" замінити цифрами "10";
4) у пункті 15:
у підпунктах 1, 6 слово "телекомунікаційної" замінити словом "комунікаційної";
пункт доповнити двома новими підпунктами 7, 8 такого змісту:
"7) здійснювати із використанням техніки Національного банку фото-/відеофіксацію під час проведення процедури демонстрації, визначеної підпунктом 6 пункту 15 розділу II цього Положення;
8) призначати і проводити інтерв’ю з керівниками банку та працівниками структурних підрозділів банку, до сфери відповідальності яких належать питання інформаційної безпеки та кіберзахисту, управління інформаційно-комунікаційними технологіями, управління операційними ризиками банку.";
пункт доповнити двома новими абзацами такого змісту:
"Демонстрація, визначена підпунктом 6 пункту 15 розділу II цього Положення, проводиться за місцезнаходженням банку (у приміщеннях підрозділів банку, що здійснюють супроводження/адміністрування програмних, апаратних, програмно-апаратних засобів забезпечення інформаційної безпеки і кіберзахисту банку, та приміщеннях, пов’язаних із наданням електронних довірчих послуг) та/або за допомогою засобів відеозв’язку, і може супроводжуватися фото-/відеофіксацією фактів, що мають ознаки недотримання банком вимог законодавства з питань інформаційної безпеки, кіберзахисту, надання електронних довірчих послуг.
Інтерв’ю, зазначене в підпункті 8 пункту 15 розділу II цього Положення, проводиться за погодженням із куратором перевірки та попереднім повідомленням контактної особи від банку безпосередньо за місцезнаходженням банку або з використанням засобів відеозв’язку.";
5) розділ після пункту 15 доповнити новим пунктом 15-1такого змісту:
"15-1. Матеріали (дані) фото-/відеофіксації, отримані відповідно до підпункту 7 пункту 15 розділу II цього Положення, долучаються до справи перевірки.";
6) у підпункті 6 пункту 17 слово "телекомунікаційної" замінити словом "комунікаційної";
7) у пункті 25 слова "нагляду (оверсайту) платіжних систем" замінити словами "оверсайта платіжної інфраструктури";
8) пункт 26 викласти в такій редакції:
"26. Результати перевірки питань, визначених підпунктом 5 пункту 4 розділу I цього Положення, надаються засвідчувальному центру для прийняття рішення щодо:
1) надсилання кваліфікованому надавачу електронних довірчих послуг листа про усунення встановлених перевіркою порушень/недоліків;
2) інформування спеціального уповноваженого центрального органу виконавчої влади з питань організації спеціального зв’язку та захисту інформації у сферах електронних довірчих послуг та електронної ідентифікації про виявлені порушення вимог Положення № 116 для здійснення заходів відповідно до вимог законодавства у сфері електронних довірчих послуг.".
3. Розділ III після пункту 28 доповнити новим пунктом 28-1такого змісту:
"28-1.Банк зобов’язаний інформувати Національний банк про істотні зміни в організації інформаційної безпеки та кіберзахисту банку, пов’язані з:
1) звільненням або переміщенням на іншу посаду/призначенням CISO;
2) змінами в розподілі функцій, обов’язків і повноважень органів управління та контролю банку в частині питань інформаційної безпеки та кіберзахисту;
3) змінами в організаційній структурі банку в частині підрозділів, до функцій яких належить забезпечення інформаційної безпеки та кіберзахисту банку;
4) ухваленням рішення щодо запровадження нового продукту або значних змін у діяльності банку, що матимуть вплив на організацію інформаційної безпеки та кіберзахисту банку;
5) ухваленням рішення щодо передачі на аутсорсинг функцій із забезпечення інформаційної безпеки/кіберзахисту банку або зміни постачальника таких послуг.
Банк здійснює таке інформування шляхом подання повідомлення засобами системи електронної пошти Національного банку за формою згідно з додатком 1 до цього Положення протягом п’яти робочих днів із дня запровадження таких змін.".
4. У розділі IV:
1) у пункті 30 слова "ризиків інформаційної безпеки/кіберризиків" замінити словами "процесів організації та забезпечення інформаційної безпеки/кіберзахисту";
2) пункт 31 викласти в такій редакції:
"31. Керівник банку зобов’язаний забезпечити надання повної та достовірної інформації у Звіті, складеному за формою згідно з додатком 2 до цього Положення, та своєчасне подання Звіту до Національного банку.";
3) розділ після пункту 31 доповнити двома новими пунктами 31-1,31-2 такого змісту:
"31-1. Звіт подається до Національного банку в формі електронного документа у форматі xlsx з накладеним КЕП керівника банку засобами системи електронної пошти Національного банку з урахуванням вимог, установлених Національним банком щодо пересилання документів із грифом обмеження доступу.
31-2. Звіт складається щорічно станом на 31 березня та подається до Національного банку протягом одного місяця, наступного за звітним періодом.".
5. Додаток до Положення виключити.
6. Положення доповнити двома новими додатками, виклавши їх у такій редакції:
"Додаток 1
до Положення про здійснення
контролю за дотриманням
банками вимог законодавства з
питань інформаційної безпеки,
кіберзахисту та електронних
довірчих послуг
(пункт 28-1 розділу III)
Повідомлення про істотні зміни в організації інформаційної безпеки та кіберзахисту
( Див. текст )
Додаток 2
до Положення про здійснення
контролю за дотриманням
банками вимог законодавства з
питань інформаційної безпеки,
кіберзахисту та електронних
довірчих послуг
(пункт 31 розділу IV)
Оцінювання процесів організації та забезпечення інформаційної безпеки/кіберзахисту".
( Див. текст )
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
25 лютого 2025 року № 24
Зміни до Положення про організацію кіберзахисту в банківській системі України
( Див. текст )
1.У розділі I:
1) у пункті 1:
слова та цифри "Національного стандарту України ДСТУ ISO/IEC 27032:2016 "Інформаційні технології. Методи захисту. Настанови щодо кібербезпеки" (ISO/IEC 27032:2012, IDT), прийнятого наказом Державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 27 грудня 2016 року № 448," виключити;
пункт доповнити словами та цифрами "регламенту Європейського парламенту і Ради (ЄС) від 14 грудня 2022 року № 2022/2554 щодо цифрової операційної стійкості фінансового сектору та внесення змін до Регламентів (ЄС) № 1060/2009, (ЄС) № 648/2012, (ЄС) № 600/2014, (ЄС) № 909/2014 та (ЄС) 2016/1011.";
2) у пункті 2:
пункт після підпункту 3 доповнити новим підпунктом 3-1 такого змісту:
"3-1) значний кіберінцидент - подія або ряд несприятливих подій ненавмисного характеру та/або таких, що мають ознаки можливої (потенційної) кібератаки, рівень критичності яких суттєво загрожує штатному функціонуванню інформаційних систем банку, що безпосередньо забезпечують автоматизацію банківської діяльності, та мають значний негативний вплив на надання банківських послуг, який може призвести до зміни функціональних можливостей таких послуг або робить їх недоступними;";
пункт після підпункту 9 доповнити новим підпунктом 9-1 такого змісту:
"9-1) рівень критичності кіберінциденту - ступень негативного впливу на банк та/або суб’єктів системи кіберзахисту в банківській системі України, що може відбутися в результаті реалізації кіберзагроз;";
пункт після підпункту 10 доповнити новим підпунктом 10-1 такого змісту:
"10-1) системний кіберризик - ризик порушення стабільності банківської системи внаслідок реалізації кіберзагроз щодо окремого банку через відповідні недоліки в його кіберстійкості;";
в абзаці шістнадцятому слово "незалежний" виключити;
3) у підпункті 4 пункту 3 слово "незалежного" виключити;
4) у пункті 4 слова "ризиків інформаційної безпеки/кіберризиків" замінити словами "процесів організації та забезпечення інформаційної безпеки/кіберзахисту";
5) у пункті 5 слова та цифри "у розділі IV" замінити словами та цифрами "у розділах II, IV".
3. У розділі II:
1) абзац другий пункту 11 замінити чотирма новими абзацами такого змісту:
"Національний банк затверджує та розміщує на порталі Центру кіберзахисту:
1) регламент роботи Центру кіберзахисту;
2) порядок інформування банками про значні кіберінциденти;
3) порядок інформаційного обміну.";
2) абзац п’ятий підпункту 3 пункту 13 викласти в такій редакції:
"розроблення переліку категорій кіберінцидентів (таксономії) і рівнів їх критичності в банківській системі України (далі - Перелік категорій кіберінцидентів) та публікацію такого переліку на порталі Центру кіберзахисту;";
3) розділ після пункту 19 доповнити трьома новими пунктами 19-1-19-3 такого змісту:
"19-1. Національний банк установлює вимоги до порядку інформування банками про значні кіберінциденти. Опис цих вимог та шаблони повідомлень наведені в порядку інформування про значні кіберінциденти, розміщеному на порталі Центру кіберзахисту в розділі "Банки/Документація".
19-2. Банк, який зафіксував кіберінцидент/кібератаку, визначає попередній рівень критичності відповідно до Переліку категорій кіберінцидентів, опублікованому на порталі Центру кіберзахисту в розділі "Банки/Документація".
Банк із метою запобігання реалізації системного кіберризику зобов’язаний без необґрунтованої затримки інформувати Центр кіберзахисту про значний кіберінцидент в такому порядку:
1) протягом 24 годин після того, як банку стало відомо про значний інцидент, шляхом надання попереднього повідомлення засобами електронної пошти на поштову скриньку cyber@bank.gov.ua відповідно до порядку інформування банками про значні кіберінциденти;
2) протягом 72 годин після того, як банку стало відомо про значний інцидент, шляхом надання проміжного повідомлення, що містить оновлену інформацію про значний кіберінцидент, через портал Центру кіберзахисту або засобами електронної пошти на поштову скриньку csirt-nbu@bank.gov.ua відповідно до порядку інформування банками про значні кіберінциденти;
3) на запит CSIRT-NBU шляхом надання відповіді, що містить проміжний звіт про відповідне оновлення статусу кіберінциденту;
4) не пізніше ніж через місяць після надання повідомлення про значний інцидент відповідно до підпункту 2 пункту 19-2 розділу II цього Положення шляхом надання остаточного звіту, що містить:
детальний опис кіберінциденту, включаючи його наслідки і вплив на діяльність банку;
тип загрози або першопричини, що ймовірно спровокували кіберінцидент;
заходи, ужиті банком для запобігання повторення реалізації кіберзагроз.
Звіт подається у формі електронного документа з накладеним КЕП CISO банку засобами системи електронної пошти Національного банку.
19-3. Банк має право інформувати Центр кіберзахисту про кіберінцидент, не визначений банком як значний, з метою та в спосіб, установлені в розділі III цього Положення.".
4. У розділі V:
1) у назві розділу слово "незалежного" виключити;
2) у пункті 42 слово "незалежного" виключити;
3) у підпункті 2 пункту 45 цифри "38" замінити цифрами "44".
