Нацбанк має намір оптимізувати процес контролю за виконанням банками та іншими установами, які є безпосередніми учасниками системи електронних платежів НБУ та/або інформаційних задач (далі - організації), вимог щодо використання засобів захисту інформації НБУ, установлених нормативно-правовими актами регулятора.
Відповідний проект постанови Правління «Про внесення змін до Положення про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України» (далі - проект Постанови) Нацбанк пропонує для громадського обговорення.
Норми проекту Постанови стосуватимуться банків та інших установ, які використовують засоби захисту інформації НБУ.
У проекті Постанови йдеться про те, що Нацбанк здійснюватиме контроль за використанням організаціями засобів захисту інформації (далі - контроль) шляхом:
- аналізу інформації, документів, звітів, отриманих від організацій;
- здійснення виїзних перевірок.
Нацбанк матиме право вимагати від організації надання інформації для проведення контролю через направлення запиту. Керівник організації буде зобов'язаний забезпечити надання на запит НБУ письмових пояснень, достовірної інформації, документів у визначених у запиті форматі, структурі, обсягах та в установлений строк.
Підставами для проведення перевірок будуть:
- уключення організації до СЕП та/або інформаційних задач Нацбанку;
- зміна місцезнаходження організації або зміна адреси розташування засобів захисту інформації;
- ненадання організацією інформації або надання недостовірної та/або неповної інформації у звітах щодо використання засобів захисту інформації та/або за запитом НБУ. Під час проведення перевірки з'ясовуються лише ті питання, необхідність у перевірці яких стала підставою для її здійснення;
- ненадання організацією інформації або надання недостовірної та/або неповної інформації про вжиття заходів щодо усунення недоліків, порушень, виявлених під час здійснення перевірки.
Працівники Нацбанку, уповноважені на здійснення перевірки готовності організації до включення до СЕП та/або інформаційні задачі, перевірятимуть:
- наявність технічних можливостей для організації робочих місць відповідальних осіб згідно з вимогами Правил № 829;
- наявність відповідальних осіб за зберігання та використання засобів захисту інформації Нацбанку, внутрішніх документів організації про їх призначення та підписаних ними зобов'язань відповідно до вимог Правил № 829.
Прийняття цього документа дасть можливість:
- урегулювати питання контролю за виконанням організаціями вимог щодо використання засобів захисту інформації Нацбанку шляхом аналізу інформації, документів, звітів, отриманих від організацій, і проведення останнім виїзних перевірок;
- урегулювати питання здійснення відповідних виїзних перевірок;
- запровадити такий метод контролю, як періодичне звітування організацій про використання засобів захисту інформації Нацбанку.
Заплановано, що в разі прийняття постанова набере чинності 31 березня 2019 року.
Зауваження та пропозиції до проекту Постанови приймаються до 12 жовтня 2018 року на поштову або електронну адресу НБУ.
Поштова адреса: 01601, м. Київ, вул. Інститутська, 9, Національний банк України, Департамент безпеки.
Електронна адреса: 22SPRA@U1H0.
