НБУ спростив процедуру перевірок з питань інформаційної безпеки

Нацбанк спростив процедуру перевірок з питань інформаційної безпеки. Це дасть змогу оптимізувати контроль за належним використанням засобів криптографічного захисту інформації регулятора.

Відповідні норми містить постанова Правління НБУ від 13 лютого 2019 року № 38 "Про внесення змін до Положення про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України".

Йдеться про виконання банками та іншими установами, які є безпосередніми учасниками системи електронних платежів Національного банку та/або інформаційних задач, вимог щодо використання засобів захисту інформації регулятора, установлених відповідними нормативно-правовими актами НБУ.

Зокрема, установлено, що Нацбанк здійснює контроль за використанням організаціями засобів захисту інформації шляхом аналізу інформації, документів, звітів, отриманих від організацій, та здійснення виїзних перевірок.

Звіт щодо використання засобів захисту інформації подаватиметься організаціями до НБУ один раз на рік протягом 1 місяця, наступного за звітним періодом (рік), у паперовій або електронній формі. У разі подання Звіту в паперовій формі він засвідчується власноручним підписом керівника організації. Подання Звіту в електронній формі здійснюється у форматі pdf із кваліфікованим електронним підписом керівника організації. Такий Звіт надсилається засобами електронної пошти НБУ.

Підставами для проведення таких перевірок є:

- уключення організації в СЕП та/або інформаційні задачі НБУ;

- зміна місцезнаходження організації або адреси розташування засобів захисту інформації, які організація отримала відповідно до положення про захист;

- ненадання організацією інформації або надання недостовірної та/або неповної інформації у звіті та/або за запитом НБУ. Під час проведення перевірки з'ясовуються лише ті питання, необхідність у перевірці яких стала підставою для її здійснення;

- ненадання організацією інформації або надання недостовірної та/або неповної інформації про вжиття заходів щодо усунення недоліків, порушень, виявлених під час здійснення перевірки.

Перевірка має здійснюватися у строк, що не перевищує 3 робочих днів.

Постанова набирає чинності з 31 березня 2019 року.

Регулятор нагадав, що він відповідно до статті 7 Закону "Про Національний банк України" установлює правила захисту інформації, визначає порядок, вимоги та заходи із забезпечення інформаційної безпеки у банківській системі України та здійснює контроль за їх виконанням.