Национальный банк ввел новые требования к защите информации, утвердив Положение о критической информационной инфраструктуре (КИИ) финансового сектора. Подробный анализ новаций читайте в материале "Кибербезопасность финансового сектора".
Для бухгалтеров и финансовых менеджеров это означает необходимость учета новых расходов на аудит систем и строгих ограничений использования иностранного программного обеспечения.
Главным приоритетом для участников рынка сейчас являются сроки: в течение двух месяцев со дня вступления в силу постановление банки и другие финучреждения обязаны определить свои объекты КІІ (ОКИИ) и предоставить эту информацию в НБУ. Это касается тех информационно-коммуникационных систем, сбой в которых может привести к кризисной ситуации на объекте критической инфраструктуры и не имеющих функциональных аналогов для замены.
В список критических систем банки-операторы имеют право включать ресурсы, обеспечивающие автоматизацию критических функций или предоставление электронных доверительных услуг. После того, как перечень будет утвержден руководителем учреждения, его необходимо послать регулятору в электронном формате с применением квалифицированной электронной подписи. В дальнейшем учреждения обязаны ежегодно до 1 ноября пересматривать этот перечень и информировать НБУ о результатах актуализации.
Особое внимание регулятор уделил «технологической гигиене»: Положение строго-настрого запрещает использовать в составе критических систем любые программные или аппаратные средства, разработанные резидентами государства-агрессора или подсанкционными лицами. Также запрещено пользоваться облачными услугами или центрами обработки данных, физически размещенными на территории страны-агрессора или на временно оккупированных территориях Украины. Поставщиком услуг для критических систем не может быть компания, конечные бенефициары которой связаны с агрессором.
В целях поддержки высокого уровня защиты, учреждения должны обеспечить регулярное обучение персонала по киберзнаменности и не реже одного раза в год проводить тренировки по реагированию на киберугрозы. Сообщения о значительных киберинцидентах (высокого и критического уровней) должны оперативно направляться по электронной почте непосредственно в Центр киберзащиты НБУ. Для банков-операторов установлена ??обязанность привлекать внешний аудит, периодичность которого будет зависеть от категории критичности их объектов.
Якщо Ви ще не користуєтесь перевагами нашого клієнта, почніть свою роботу з LIGA360 вже сьогодні - Ligazakon.net
