Нацбанк упростил процедуру проверок по вопросам информационной безопасности. Это позволит оптимизировать контроль за надлежащим использованием средств криптографической защиты информации регулятора.
Соответствующие нормы содержит постановление Правления НБУ от 13 февраля 2019 года № 38 "О внесении изменений в Положение о порядке проверки состояния информационной безопасности в банковских и других учреждениях, использующих средства защиты информации Национального банка Украины".
Речь идет о выполнении банками и другими учреждениями, являющимися непосредственными участниками системы электронных платежей Национального банка и/или информационных задач, требований по использованию средств защиты информации регулятора, установленных соответствующими нормативно-правовыми актами НБУ.
В частности, установлено, что Нацбанк осуществляет контроль за использованием организациями средств защиты информации путем анализа информации, документов, отчетов, полученных от организаций, и осуществления выездных проверок.
Отчет об использовании средств защиты информации будет подаваться организациями в НБУ один раз в год в течение 1 месяца, следующего за отчетным периодом (год), в бумажной или электронной форме. В случае представления Отчета в бумажной форме он удостоверяется собственноручной подписью руководителя организации. Представление Отчета в электронной форме осуществляется в формате pdf с квалифицированной электронной подписью руководителя организации. Такой Отчет направляется средствами электронной почты НБУ.
Основаниями для проведения таких проверок являются:
- включение организации в СЭП и/или информационные задачи НБУ;
- смена местонахождения организации или адреса расположения средств защиты информации, которые организация получила в соответствии с положением о защите;
- непредоставление организацией информации или предоставление недостоверной и/или неполной информации в отчете и/или по запросу НБУ. В ходе проведения проверки выясняются только те вопросы, необходимость в проверке которых стала основанием для ее осуществления;
- непредоставление организацией информации или предоставление недостоверной и/или неполной информации о принятии мер по устранению недостатков, нарушений, выявленных в ходе осуществления проверки.
Проверка должна осуществляться в срок, не превышающий 3 рабочих дней.
Постановление вступает в силу с 31 марта 2019 года.
Регулятор напомнил, что он в соответствии со статьей 7 Закона "О Национальном банке Украины" устанавливает правила защиты информации, определяет порядок, требования и меры по обеспечению информационной безопасности в банковской системе Украины и осуществляет контроль за их выполнением.