Положение о порядке проверки состояния информационной безопасности в банковских и других учреждениях, использующих средства защиты информации Национального банка Украины. Постановление НБУ от 26.11.2015 № 829
Положение регламентирует порядок проведения плановых и внеплановых проверок состояния информационной безопасности в организациях, получивших СЗИ в соответствии с Положением о защите.
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
26.11.2015 № 829
ПОЛОЖЕННЯ
про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України
I. Загальні положення
1. Це Положення розроблено відповідно до статей 7, 56 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність", Законів України "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України (далі - Національний банк) у сфері інформаційної безпеки.
2. У цьому Положенні терміни та скорочення вживаються в значеннях, визначених Законом України "Про електронні документи та електронний документообіг", Положенням про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженим постановою Правління Національного банку від 26 листопада 2015 року № 829 (далі - Положення про захист), стандартами з управління інформаційною безпекою в банківській системі України, затвердженими постановою Правління Національного банку України від 28 жовтня 2010 року № 474, Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року № 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909 (зі змінами).
3. Це Положення регламентує порядок проведення планових та позапланових перевірок стану інформаційної безпеки в організаціях, які отримали ЗЗІ відповідно до Положення про захист.
4. Виїзні перевірки щодо дотримання організаціями вимог інформаційної безпеки здійснюються Департаментом інформаційної безпеки Національного банку (далі - Департамент інформаційної безпеки) відповідно до Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затверджених постановою Правління Національного банку від 26 листопада 2015 року № 829 (далі - Правила).
5. Департамент інформаційної безпеки здійснює аналіз стану інформаційної безпеки в організаціях з метою забезпечення безперервного, надійного та ефективного функціонування СЕП та інформаційних задач шляхом:
збору результатів внутрішніх перевірок та оцінювання стану інформаційної безпеки в організаціях;
оцінювання стану інформаційної безпеки в організаціях за результатами виїзних перевірок.
6. Департамент інформаційної безпеки має право вимагати від організацій надання інформації та документів для здійснення контролю за станом інформаційної безпеки шляхом направлення відповідного запиту.
7. Організація зобов'язана надавати Департаменту інформаційної безпеки повну та достовірну інформацію і документи та їх копії належної якості у встановлені строки у визначених порядку та форматі відповідно до Положення про захист та Правил.
8. Департамент інформаційної безпеки забезпечує нерозголошення інформації, отриманої ним під час контролю за станом інформаційної безпеки в організації, третім особам, за винятком випадків, передбачених законодавством України.
II. Контроль за станом інформаційної безпеки в організації
9. Працівник Департаменту інформаційної безпеки, який здійснює перевірку, зобов'язаний мати документи, що підтверджують його особу, і розпорядчий акт про проведення перевірки.
10. Перевірка здійснюється в присутності адміністратора інформаційної безпеки та/або посадової особи, призначеної керівником організації.
11. Працівник Департаменту інформаційної безпеки, який здійснює перевірку, має право:
1) перевіряти використання, облік і зберігання ЗЗІ адміністратором інформаційної безпеки, журнали, справи і документи з питань організації інформаційної безпеки;
2) відвідувати приміщення з АРМ-СЕП/АРМ-НБУ-інф, вивчати умови використання і зберігання ЗЗІ адміністраторами АРМ-СЕП/АРМ-НБУ-інф;
3) відвідувати робочі місця всіх відповідальних за роботу із ЗЗІ осіб (далі - відповідальні особи) в організації і вивчати умови використання та зберігання ними ЗЗІ;
4) перевіряти знання відповідальними особами нормативно-правових актів Національного банку, що регламентують забезпечення інформаційної безпеки, виконання ними рекомендацій Національного банку, їх уміння працювати із ЗЗІ;
5) ознайомлюватися з внутрішніми документами, актами, журналами діяльності автоматизованих програмно-апаратних систем та іншими документами організації, що дають змогу проконтролювати виконання вимог щодо інформаційної безпеки.
12. Департамент інформаційної безпеки проводить планові (не рідше ніж один раз на два роки) і позапланові перевірки.
Підставами для проведення позапланових перевірок є включення організації в СЕП та/або інформаційні задачі, перехід на роботу з однієї моделі обслуговування консолідованого кореспондентського рахунку на іншу, зміна місцезнаходження організації, усунення недоліків, виявлених під час попередньої перевірки.
13. За результатами перевірки складається довідка про результати перевірки стану інформаційної безпеки в організації у двох примірниках. Один примірник цієї довідки зберігається в Департаменті інформаційної безпеки, другий - в організації.
14. У разі виявлення недоліків (порушень) організація зобов'язана повідомити Департамент інформаційної безпеки в установлений термін про вжиття заходів щодо їх усунення.
III. Перевірка готовності організації до включення в СЕП та інформаційні задачі
15. Департамент інформаційної безпеки зобов'язаний перевірити готовність організації до включення в СЕП та інформаційні задачі після вжиття організацією необхідних первинних заходів щодо організації захисту електронної банківської інформації відповідно до вимог, що визначаються Правилами.
16. Підставою для перевірки є відповідний розпорядчий акт Департаменту інформаційної безпеки.
17. Під час перевірки розглядаються такі питання:
1) наявність технічних можливостей для організації робочих місць відповідальних осіб згідно з розділом VIII Правил;
2) відповідність приміщення з АРМ-СЕП/АРМ-НБУ-інф, з робочим місцем адміністратора інформаційної безпеки, інших приміщень, де використовуватимуться ЗЗІ, вимогам розділу VIII Правил;
3) наявність відповідальних осіб, внутрішнього документа організації про їх призначення і підписаних ними зобов'язань згідно з розділом II Правил;
4) наявність копій нормативно-правових актів Національного банку щодо забезпечення інформаційної безпеки під час роботи із ЗЗІ відповідно до розділу VII Правил;
5) перевірка знань нормативно-правових актів, що регламентують порядок забезпечення інформаційної безпеки під час роботи із ЗЗІ, відповідно до розділу III Правил.
18. За результатами перевірки складається відповідна довідка.
За наявності недоліків, що можуть впливати на безпеку електронних банківських документів, складається довідка із зазначенням виявлених недоліків (зауважень, порушень) та строків їх усунення.
|
Директор Департаменту |
|
Источник информации: официальный сайт Верховной рады Украины http://rada.gov.ua/
Мы будем рады если вы обратитесь именно к нам. Индивидуальный подход к каждому клиенту и опыт реализации различных бизнес идей на рынке финансовых услуг, обеспечит вам получение результата - регистрация финансовой компании, получение лицензии на предоставление финансовых услуг
Регистрация всех видов финансовых учреждений. Создание отделений финансовых компаний. Лицензирование деятельности финансовых учреждений. Сопровождение купли-продажи финансовых компаний.
tel: 0671013668, 0993869134
Viber, Telegram, WhatsApp.
email: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.
Skype: Lawfin1