ПОЛОЖЕННЯ про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України. Постанова НБУ від 26.11.2015 № 829

Положення регламентує порядок проведення планових та позапланових перевірок стану інформаційної безпеки в організаціях, які отримали ЗЗІ відповідно до Положення про захист.

ЗАТВЕРДЖЕНО 
Постанова Правління 
Національного банку України 
26.11.2015 № 829

ПОЛОЖЕННЯ 
про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України

I. Загальні положення

1. Це Положення розроблено відповідно до статей 7, 56 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність", Законів України "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України (далі - Національний банк) у сфері інформаційної безпеки.

2. У цьому Положенні терміни та скорочення вживаються в значеннях, визначених Законом України "Про електронні документи та електронний документообіг", Положенням про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженим постановою Правління Національного банку від 26 листопада 2015 року № 829 (далі - Положення про захист), стандартами з управління інформаційною безпекою в банківській системі України, затвердженими постановою Правління Національного банку України від 28 жовтня 2010 року № 474, Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року № 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909 (зі змінами).

3. Це Положення регламентує порядок проведення планових та позапланових перевірок стану інформаційної безпеки в організаціях, які отримали ЗЗІ відповідно до Положення про захист.

4. Виїзні перевірки щодо дотримання організаціями вимог інформаційної безпеки здійснюються Департаментом інформаційної безпеки Національного банку (далі - Департамент інформаційної безпеки) відповідно до Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затверджених постановою Правління Національного банку від 26 листопада 2015 року № 829 (далі - Правила).

5. Департамент інформаційної безпеки здійснює аналіз стану інформаційної безпеки в організаціях з метою забезпечення безперервного, надійного та ефективного функціонування СЕП та інформаційних задач шляхом:

збору результатів внутрішніх перевірок та оцінювання стану інформаційної безпеки в організаціях;

оцінювання стану інформаційної безпеки в організаціях за результатами виїзних перевірок.

6. Департамент інформаційної безпеки має право вимагати від організацій надання інформації та документів для здійснення контролю за станом інформаційної безпеки шляхом направлення відповідного запиту.

7. Організація зобов'язана надавати Департаменту інформаційної безпеки повну та достовірну інформацію і документи та їх копії належної якості у встановлені строки у визначених порядку та форматі відповідно до Положення про захист та Правил.

8. Департамент інформаційної безпеки забезпечує нерозголошення інформації, отриманої ним під час контролю за станом інформаційної безпеки в організації, третім особам, за винятком випадків, передбачених законодавством України.

II. Контроль за станом інформаційної безпеки в організації

9. Працівник Департаменту інформаційної безпеки, який здійснює перевірку, зобов'язаний мати документи, що підтверджують його особу, і розпорядчий акт про проведення перевірки.

10. Перевірка здійснюється в присутності адміністратора інформаційної безпеки та/або посадової особи, призначеної керівником організації.

11. Працівник Департаменту інформаційної безпеки, який здійснює перевірку, має право:

1) перевіряти використання, облік і зберігання ЗЗІ адміністратором інформаційної безпеки, журнали, справи і документи з питань організації інформаційної безпеки;

2) відвідувати приміщення з АРМ-СЕП/АРМ-НБУ-інф, вивчати умови використання і зберігання ЗЗІ адміністраторами АРМ-СЕП/АРМ-НБУ-інф;

3) відвідувати робочі місця всіх відповідальних за роботу із ЗЗІ осіб (далі - відповідальні особи) в організації і вивчати умови використання та зберігання ними ЗЗІ;

4) перевіряти знання відповідальними особами нормативно-правових актів Національного банку, що регламентують забезпечення інформаційної безпеки, виконання ними рекомендацій Національного банку, їх уміння працювати із ЗЗІ;

5) ознайомлюватися з внутрішніми документами, актами, журналами діяльності автоматизованих програмно-апаратних систем та іншими документами організації, що дають змогу проконтролювати виконання вимог щодо інформаційної безпеки.

12. Департамент інформаційної безпеки проводить планові (не рідше ніж один раз на два роки) і позапланові перевірки.

Підставами для проведення позапланових перевірок є включення організації в СЕП та/або інформаційні задачі, перехід на роботу з однієї моделі обслуговування консолідованого кореспондентського рахунку на іншу, зміна місцезнаходження організації, усунення недоліків, виявлених під час попередньої перевірки.

13. За результатами перевірки складається довідка про результати перевірки стану інформаційної безпеки в організації у двох примірниках. Один примірник цієї довідки зберігається в Департаменті інформаційної безпеки, другий - в організації.

14. У разі виявлення недоліків (порушень) організація зобов'язана повідомити Департамент інформаційної безпеки в установлений термін про вжиття заходів щодо їх усунення.

III. Перевірка готовності організації до включення в СЕП та інформаційні задачі

15. Департамент інформаційної безпеки зобов'язаний перевірити готовність організації до включення в СЕП та інформаційні задачі після вжиття організацією необхідних первинних заходів щодо організації захисту електронної банківської інформації відповідно до вимог, що визначаються Правилами.

16. Підставою для перевірки є відповідний розпорядчий акт Департаменту інформаційної безпеки.

17. Під час перевірки розглядаються такі питання:

1) наявність технічних можливостей для організації робочих місць відповідальних осіб згідно з розділом VIII Правил;

2) відповідність приміщення з АРМ-СЕП/АРМ-НБУ-інф, з робочим місцем адміністратора інформаційної безпеки, інших приміщень, де використовуватимуться ЗЗІ, вимогам розділу VIII Правил;

3) наявність відповідальних осіб, внутрішнього документа організації про їх призначення і підписаних ними зобов'язань згідно з розділом II Правил;

4) наявність копій нормативно-правових актів Національного банку щодо забезпечення інформаційної безпеки під час роботи із ЗЗІ відповідно до розділу VII Правил;

5) перевірка знань нормативно-правових актів, що регламентують порядок забезпечення інформаційної безпеки під час роботи із ЗЗІ, відповідно до розділу III Правил.

18. За результатами перевірки складається відповідна довідка.

За наявності недоліків, що можуть впливати на безпеку електронних банківських документів, складається довідка із зазначенням виявлених недоліків (зауважень, порушень) та строків їх усунення.

Директор Департаменту  інформаційної безпеки

Д.О. Лук'янов

Джерело інформації: офіційний сайт Верховної Ради України http://rada.gov.ua/

---

Будемо раді вам допомогти в питаннях пов’язаних з організацією та реєстрацією фінансових установ. Індивідуальний підхід до кожного клієнта. Кваліфіковані послуги з питань створення та реєстрації всіх видів фінансових установ, питань отримання ліцензій на фінансові послуги (факторинг, фінансовий лізинг, кредити і т.д.,), відкриття відділень фінансових установ.

Реєстрація всіх видів фінансових установ. Створення відокремлених підрозділів фінансової установи. Ліцензування діяльності фінансових установ. Супровід купівлі-продажу фінансових компаній

tel: 0671013668, 0993869134

Viber, Telegram, WhatsApp

email: Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.

Skype: Lawfin1