Національний банк запровадив нові вимоги до захисту інформації, затвердивши Положення про критичну інформаційну інфраструктуру (КІІ) фінансового сектору. Докладний аналіз новацій читайте у матеріалі "Кібербезпека фінансового сектору".
Для бухгалтерів та фінансових менеджерів це означає необхідність врахування нових витрат на аудит систем та суворих обмежень щодо використання іноземного програмного забезпечення.
Головним пріоритетом для учасників ринку зараз є терміни: протягом двох місяців із дня набрання чинності постановою банки та інші фінустанови зобов'язані визначити свої об'єкти КІІ (ОКІІ) та надати цю інформацію до НБУ. Це стосується тих інформаційно-комунікаційних систем, збій у яких може призвести до кризової ситуації на об'єкті критичної інфраструктури, та які не мають функціональних аналогів для заміни.
До переліку критичних систем банки-оператори мають право включати ресурси, що забезпечують автоматизацію критичних функцій або надання електронних довірчих послуг. Після того, як перелік буде затверджений керівником установи, його необхідно надіслати регулятору в електронному форматі із застосуванням кваліфікованого електронного підпису. Надалі установи зобов'язані щороку до 1 листопада переглядати цей перелік та інформувати НБУ про результати актуалізації.
Особливу увагу регулятор приділив «технологічній гігієні»: Положення суворо забороняє використовувати у складі критичних систем будь-які програмні чи апаратні засоби, розроблені резидентами держави-агресора або підсанкційними особами. Також заборонено користуватися хмарними послугами чи центрами обробки даних, що фізично розміщені на території країни-агресора або на тимчасово окупованих територіях України. Постачальником послуг для критичних систем не може бути компанія, кінцеві бенефіціари якої пов'язані з агресором.
З метою підтримки високого рівня захисту, установи повинні забезпечити регулярне навчання персоналу з кіберобізнаності та не рідше одного разу на рік проводити тренування з реагування на кіберзагрози. Повідомлення про значні кіберінциденти (високого та критичного рівнів) мають оперативно надсилатися електронною поштою безпосередньо до Центру кіберзахисту НБУ. Для банків-операторів також встановлено обов'язок залучати зовнішній аудит, періодичність якого залежатиме від категорії критичності їхніх об'єктів.
Якщо Ви ще не користуєтесь перевагами нашого клієнта, почніть свою роботу з LIGA360 вже сьогодні - Ligazakon.net
