Національний банк постановою від 25.02.2025 № 24 оновив деякі норми, що стосуються функціонування системи кіберзахисту та контролю за станом інформаційної безпеки і кіберзахисту в банківській системі України. Постанова набрала чинності 1 березня 2025 року.
Зокрема, Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг доповнено нормами, відповідно до яких банк зобов'язаний інформувати Нацбанк про істотні зміни в організації інформаційної безпеки та кіберзахисту банку, пов'язані з:
звільненням або переміщенням на іншу посаду / призначенням CISO;
змінами в розподілі функцій, обов'язків і повноважень органів управління та контролю банку в частині питань інформаційної безпеки та кіберзахисту;
змінами в організаційній структурі банку в частині підрозділів, до функцій яких належить забезпечення інформаційної безпеки та кіберзахисту банку;
ухваленням рішення щодо запровадження нового продукту або значних змін у діяльності банку, що матимуть вплив на організацію інформаційної безпеки та кіберзахисту банку;
ухваленням рішення щодо передачі на аутсорсинг функцій із забезпечення інформаційної безпеки / кіберзахисту банку або зміни постачальника таких послуг.
Банк здійснює таке інформування шляхом подання повідомлення засобами системи електронної пошти Нацбанку за встановленою формою протягом 5 робочих днів із дня запровадження таких змін.
Змінами до Положення про організацію кіберзахисту в банківській системі України серед іншого визначено, що Нацбанк установлює вимоги до порядку інформування банками про значні кіберінциденти. Опис цих вимог та шаблони повідомлень наведені в порядку інформування про значні кіберінциденти, розміщеному на порталі Центру кіберзахисту в розділі "Банки / Документація".
Банк, який зафіксував кіберінцидент / кібератаку, визначає попередній рівень критичності відповідно до Переліку категорій кіберінцидентів, опублікованому на порталі Центру кіберзахисту в розділі "Банки / Документація".
Банк із метою запобігання реалізації системного кіберризику зобов'язаний без необґрунтованої затримки інформувати Центр кіберзахисту про значний кіберінцидент в такому порядку:
протягом 24 годин після того, як банку стало відомо про значний інцидент, шляхом надання попереднього повідомлення засобами електронної пошти на поштову скриньку cyber@bank.gov.ua відповідно до порядку інформування банками про значні кіберінциденти;
протягом 72 годин після того, як банку стало відомо про значний інцидент, шляхом надання проміжного повідомлення, що містить оновлену інформацію про значний кіберінцидент, через портал Центру кіберзахисту або засобами електронної пошти на поштову скриньку csirt-nbu@bank.gov.ua відповідно до порядку інформування банками про значні кіберінциденти;
на запит CSIRT-NBU шляхом надання відповіді, що містить проміжний звіт про відповідне оновлення статусу кіберінциденту;
не пізніше ніж через місяць після надання повідомлення про значний інцидент шляхом надання остаточного звіту, що містить:
детальний опис кіберінциденту, включаючи його наслідки і вплив на діяльність банку;
тип загрози або першопричини, що ймовірно спровокували кіберінцидент;
заходи, ужиті банком для запобігання повторення реалізації кіберзагроз.
Звіт подається у формі електронного документа з накладеним КЕП CISO банку засобами системи електронної пошти Нацбанку.
Банк має право інформувати Центр кіберзахисту про кіберінцидент, не визначений банком як значний, з метою та в спосіб, установлені в розд. III Положення.
LIGA360 забезпечить ваш бізнес інформацією, необхідною для комплексного управління ризиками. Наші інструменти дозволяють попереджати ризики співпраці з партнерами, а також законодавчі, судові й інформаційні загрози й вживати своєчасних заходів щодо їх мінімізації. Оцініть можливості LIGA360, замовивши персональну презентацію вже сьогодні.
