Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статей 14, 17, 18, 19, 22, 38 Закону України "Про платіжні системи та переказ коштів в Україні", статей 6, 8 Закону України "Про основні засади забезпечення кібербезпеки України", з метою встановлення вимог щодо забезпечення захисту інформації та кіберзахисту в платіжних системах Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про захист інформації та кіберзахистучасниками платіжного ринку (далі - Положення), що додається.

2. Платіжним організаціям платіжних систем, учасникам/членам платіжних систем та операторам послуг платіжної інфраструктури протягом 12 місяців із дня набрання чинності цією постановою:

1) розробити/доопрацювати з урахуванням вимог Положення та затвердити внутрішні документи щодо інформаційної безпеки та кіберзахисту;

2) привести свою діяльність у відповідність до вимог Положення.

3. Департаменту безпеки (Ігор Коновалов) після офіційного опублікування довести до відома платіжних організацій платіжних систем, учасників/членів платіжних систем, операторів послуг платіжної інфраструктури інформацію про прийняття цієї постанови.

4. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Кирила Шевченка.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про платіжні послуги", "Про основні засади забезпечення кібербезпеки України", "Про електронні довірчі послуги".

2. Це Положення визначає вимоги та заходи щодо забезпечення захисту інформації, кіберзахисту та інформаційної безпеки у сфері надання платіжних послуг та контроль за їх виконанням.

3. Терміни, що використовуються в цьому Положенні, вживаються в такому значенні:

1) адміністратор - призначена керівником, його заступником або керівним органом суб'єкта інформаційного захисту (далі - керівництво) відповідальна особа, яка забезпечує супровід та управління програмними та/або апаратними засобами чи ресурсами;

3) віртуальна машина - емуляція комп'ютерної системи, яка забезпечує функціональність фізичного комп'ютера та працює під управлінням гіпервізора;

4) гіпервізор - сукупність програмних та апаратних засобів, що забезпечують паралельне функціонування кількох віртуальних машин на одному комп'ютері, ізолюючи ці віртуальні машини та можливість керування наявними ресурсами, можливість розподілення ресурсів між віртуальними машинами, що використовуються;

5) засіб захисту мережі - програмний або апаратний засіб, який захищає інформаційну систему, що використовується для надання платіжних послуг (далі - IC), від несанкціонованого доступу до її мережевих складових, випадкового або навмисного втручання в роботу мережі;

6) інформаційна безпека - збереження конфіденційності, цілісності та доступності інформації;

7) інцидент інформаційної безпеки - подія або серія подій порушення інформаційної безпеки, які можуть призвести до збитків та втрат для суб'єкта інформаційного захисту або користувачів платіжних послуг;

8) керівник суб'єкта інформаційного захисту - призначена власником суб'єкта інформаційного захисту посадова особа, яка діє від імені суб'єкта інформаційного захисту, представляє його інтереси в органах державної влади і органах місцевого самоврядування, інших організаціях, у відносинах з юридичними особами та громадянами, формує адміністрацію суб'єкта інформаційного захисту і вирішує питання діяльності суб'єкта інформаційного захисту в межах та порядку, визначених установчими документами;

9) кіберінцидент - подія або сукупність несприятливих подій ненавмисного характеру або таких, що мають ознаки можливої кібератаки, які становлять загрозу безпеці інформаційної інфраструктури, створюють імовірність порушення штатного режиму її функціонування, а також ставлять під загрозу захищеність інформаційних ресурсів;

10) ключовий суб'єкт інформаційного захисту - суб'єкт інформаційного захисту, який належить до однієї категорії або більше:

оператор важливої платіжної системи, якщо він виконує функції технологічного оператора платіжних послуг у цій платіжній системі;

важливий технологічний оператор платіжних послуг;

технологічний оператор платіжних послуг, який надає послуги платіжній системі, створеній нерезидентом, та який отримав дозвіл Національного банку України (далі - Національний банк) надавати свої послуги в Україні;

технологічний оператор платіжних послуг, що надає послуги більше ніж одній платіжній системі;

11) користувач IC - уповноважений працівник суб'єкта інформаційного захисту, що має можливість здійснювати створення, перегляд, оброблення, модифікацію, збереження та видалення інформації в IC;

12) криптографічний алгоритм - алгоритм, який визначає правила перетворення інформації з метою її криптографічного захисту;

13) критичне приміщення - центр оброблення даних, серверна кімната або інше приміщення, в якому розміщені системи, які здійснюють оброблення, зберігання або передавання платіжних інструкцій та їх архівів та/або інших критичних даних;

14) критичні дані - дані, несанкціоноване використання або втрата яких призводить до порушення інформаційної безпеки або порушення прав користувачів платіжних послуг;

15) несанкціонований доступ (далі - НСД) - отримання доступу до комп'ютерної системи або вчинення дій, які призводять до одержання доступу до інформації особою, яка не має прав на перегляд та/або модифікацію цієї інформації без дозволу керівництва або уповноважених ним осіб;

16) суб'єкт інформаційного захисту - надавач платіжних послуг (крім установ електронних грошей, Національного банку, органів державної влади та органів місцевого самоврядування), оператор платіжної системи-резидент та технологічний оператор платіжних послуг у разі надання інших видів послуг, крім оброблення платіжних операцій в міжнародних карткових платіжних системах.

Інші терміни в цьому Положенні вживаються в значеннях, наведених у законах України та нормативно-правових актах Національного банку.

4. Вимоги цього Положення поширюються на суб'єктів інформаційного захисту, крім філій іноземних платіжних установ, що на законних підставах надають послуги в Україні та використовують засоби захисту інформації відповідно до своїх правил та з урахуванням вимог юрисдикцій, де ці правила були узгоджені, на банки, що є операторами платіжних систем, учасниками платіжних систем та/або надавачами платіжних послуг, у частині питань, що не врегульовані іншими нормативно-правовими актами Національного банку у сфері кіберзахисту та інформаційної безпеки в банківській системі.

5. Вимоги цього Положення не поширюються на операторів платіжних систем, функції яких виконує Національний банк, та учасників таких платіжних систем.

6. Вимоги цього Положення поширюються на:

1) критичні дані, а також бази даних та інформаційні повідомлення між суб'єктами інформаційного захисту, що містять такі дані;

4) сервери та мережеве обладнання, що використовуються для надання платіжних послуг;

5) засоби захисту інформації (технічні та криптографічні);

6) криптографічні ключі.

7. Контроль за виконанням вимог цього Положення здійснює Національний банк.

8. Суб'єкт інформаційного захисту забезпечує виконання вимог цього Положення щодо програмних, апаратних засобів і комплексів, мережевого обладнання, які ним використовуються для надання платіжних послуг, а також щодо документів, передбачених цим Положенням.

9. Керівник суб'єкта інформаційного захисту здійснює загальну організацію діяльності з питань забезпечення захисту інформації, кіберзахисту та інформаційної безпеки.

Керівник суб'єкта інформаційного захисту з цією метою:

1) призначає відповідальних осіб за забезпечення захисту інформації, кіберзахисту та інформаційної безпеки і здійснює контроль за їхньою діяльністю;

2) затверджує політику інформаційної безпеки та документи, зазначені в пунктах 11, 13 розділу III цього Положення.

10. Відповідальні особи за забезпечення захисту інформації, кіберзахисту та інформаційної безпеки суб'єкта інформаційного захисту:

1) організовують виконання вимог цього Положення;

2) здійснюють контроль за виконанням заходів щодо забезпечення кіберзахисту та інформаційної безпеки на всіх стадіях життєвого циклу (проєктування, впровадження, експлуатації та виведення з експлуатації) IC суб'єкта інформаційного захисту;

3) розробляють політику інформаційної безпеки та документи, зазначені в пунктах 11, 13 розділу III цього Положення;

4) здійснюють моніторинг та розслідування інцидентів інформаційної безпеки та кіберінцидентів, які стосуються надання платіжних послуг;

5) організовують контроль за працездатністю засобів захисту інформації та відновлення їх працездатності в разі порушення функціонування;

6) здійснюють контроль за складом і цілісністю програмних та апаратних засобів IC, уживають заходів щодо недопущення встановлення та використання в складі IC програмних і апаратних засобів, не передбачених документами з питань захисту інформації, кіберзахисту та інформаційної безпеки;

7) погоджують зміну програмних та апаратних засобів IC з урахуванням вимог законодавства України та правил платіжних систем щодо захисту інформації, кіберзахисту та інформаційної безпеки;

8) організовують підготовку та підвищення кваліфікації фахівців, які беруть участь у реалізації заходів щодо захисту інформації, кіберзахисту та інформаційної безпеки.

11. Суб'єкт інформаційного захисту повинен до початку своєї діяльності розробити такі внутрішні документи з питань захисту інформації, кіберзахисту та інформаційної безпеки під час надання платіжних послуг:

1) політику інформаційної безпеки, що включає мету, завдання та загальні принципи забезпечення захисту інформації, кіберзахисту та інформаційної безпеки, перелік об'єктів, що підлягають захисту, моделі загроз та моделі порушників, основні положення щодо забезпечення захисту інформації, кіберзахисту та інформаційної безпеки, відповідальність за дотримання положень політики та контроль за її дотриманням;

2) документи, що визначають повноваження та відповідальність персоналу з питань забезпечення захисту інформації, кіберзахисту та інформаційної безпеки;

3) вимоги щодо захисту особистих ключів підписувачів від НСД;

4) методику відновлення та захисту критичних даних у разі втрати, компрометації чи пошкодження криптографічних ключів або носіїв критичних даних.

До критичних даних належать:

платіжні інструкції в електронній формі;

вразливі платіжні дані (індивідуальна облікова інформація, особисті криптографічні ключі, паролі доступу, коди операцій, інша інформація, що зазначається в платіжній інструкції та за допомогою якої можуть вчинятися шахрайські дії);

персональні дані;

архіви всіх цих даних;

5) вимоги до паролів, що не суперечать вимогам, визначеним у пункті 12 розділу III цього Положення.

6) вимоги до захисту платіжних інструкцій в електронній формі від несанкціонованого знищення та модифікації.

12. Паролі, які використовує суб'єкт інформаційного захисту, повинні відповідати таким вимогам:

1) паролі користувачів платіжних систем та користувачів IC створюються під час реєстрації;

2) зберігання та передавання паролів здійснюється в захищеному від НСД вигляді;

3) пароль дійсний для одноразового використання не більше 10 хвилин та може передаватися через мережі загального користування (електронна пошта, електронні повідомлення) у разі використання як одного з факторів посиленої автентифікації;

4) паролі доступу повинні мати довжину не менше восьми символів, серед яких повинні використовуватися малі та великі латинські літери (принаймні одна велика і одна мала літера), арабські цифри (принаймні одна) та спеціальні символи (принаймні один);

5) паролі відповідальних осіб за забезпечення захисту інформації, кіберзахисту та інформаційної безпеки повинні змінюватися не рідше ніж один раз на 120 діб;

6) паролі доступу до облікових записів для адміністрування гіпервізорів та серверів повинні змінюватися не рідше ніж один раз на 90 діб.

13. Ключовий суб'єкт інформаційного захисту зобов'язаний розробити додатково до передбачених у пункті 11 розділу III цього Положення такі внутрішні документи з питань захисту інформації, кіберзахисту та інформаційної безпеки під час надання платіжних послуг:

1) політику резервного копіювання, яка повинна містити порядок виконання процедур резервного копіювання критичних даних, регламент перевірки цілісності та працездатності резервних копій;

2) політику обмеження використання змінних носіїв інформації;

3) політику захисту від шкідливого програмного забезпечення (далі - ПЗ), зловмисного коду та вірусів.

14. Внутрішні документи, зазначені в пунктах 11, 13 розділу III цього Положення, можуть бути одним документом. Внутрішні документи з питань захисту інформації, кіберзахисту та інформаційної безпеки переглядаються за потреби, але не рідше ніж один раз на два роки, а також у зв'язку зі змінами в законодавстві України або нормативно-правових актах Національного банку.

15. Суб'єкт інформаційного захисту зобов'язаний вживати заходів для забезпечення захисту інформації, кіберзахисту та інформаційної безпеки на всіх стадіях життєвого циклу системи захисту, що використовується для надання платіжних послуг: під час підготовки до експлуатації, під час уведення в експлуатацію, під час експлуатації і під час зняття з експлуатації.