НБУ обновил нормы относительно киберзащиты и контроля за информационной безопасностью в банках

Национальный банк постановлением от 25.02.2025 № 24 обновил некоторые нормы, которые касаются функционирования системы киберзащиты и контроля за состоянием информационной безопасности и киберзащиты в банковской системе Украины. Постановление вступило в силу 1 марта 2025 года.

В частности, Положение об осуществлении контроля за соблюдением банками требований законодательства по вопросам информационной безопасности, киберзащиты и электронных доверительных услуг дополнено нормами, в соответствии с которыми банк обязан информировать Нацбанк о существенных изменениях в организации информационной безопасности и киберзащиты банка, связанных с:

• увольнением или перемещением на другую должность / назначениям CISO;

• изменениями в распределении функций, обязанностей и полномочий органов управления и контроля банка в части вопросов информационной безопасности и киберзащиты;

• изменениями в организационной структуре банка в части подразделений, к функциям которых относится обеспечение информационной безопасности и киберзащиты банка;

• принятием решения относительно ввода нового продукта или значительных изменений в деятельности банка, которые будут иметь влияние на организацию информационной безопасности и киберзащиты банка;

• принятием решения относительно передачи на аутсорсинг функций по обеспечению информационной безопасности / киберзащиты банка или изменения поставщика таких услуг.

Банк осуществляет такое информирование путем представления уведомления средствами системы электронной почты Нацбанка по установленной форме в течение 5 рабочих дней из дня введения таких изменений.

Изменениями к Положение об организации киберзащиты в банковской системе Украины среди прочего определено, что Нацбанк устанавливает требования к порядку информирования банками о значительных киберинцидентах. Описание этих требований и шаблоны уведомлений приведены в порядке информирования о значительных киберинцидентах, размещенном на портале Центра киберзащиты в разделе "Банки / Документация".

Банк, который зафиксировал киберинцидент / кибератаку, определяет предварительный уровень критичности в соответствии с Перечнем категорий киберинцидентов, опубликованом на портале Центра киберзащиты в разделе "Банки / Документация".

Банк с целью предотвращения реализации системного киберриска обязан без необоснованной задержки информировать Центр киберзащиты о значительном киберинциденте в таком порядке:

• в течение 24 часов после того, как банку стало известно о значительном инциденте, путем предоставления предварительного уведомления средствами электронной почты на почтовый ящик cyber@bank.gov.ua в соответствии с порядком информирования банками о значительных киберинцидентах;

• в течение 72 часов после того, как банку стало известно о значительном инциденте, путем предоставления промежуточного уведомления, которое содержит обновленную информацию о значительном киберинциденте, через портал Центра киберзащиты или средствами электронной почты на почтовый ящик csirt-nbu@bank.gov.ua в соответствии с порядком информирования банками о значительных киберинцидентах;

• на запрос CSIRT - NBU путем предоставления ответа, который содержит промежуточный отчет о соответствующем обновлении статуса киберинцидента;

• не позже чем через месяц после предоставления сообщения о значительном инциденте путем предоставления окончательного отчета, который содержит, :

• детальное описание киберинцидента, включая его последствия и влияние на деятельность банка;

• тип угрозы или первопричины, которые вероятно спровоцировали керинцидент;

• мероприятия, употребленные банком для предотвращения повторения реализации киберугроз.

Отчет подается в форме электронного документа с наложенным КЕП CISO банка средствами системы электронной почты Нацбанка.

Банк имеет право информировать Центр киберзащиты о киберинциденте, не определенный банком как значительный, с целью и в способ, установленные в разд. III Положения.