Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", Закону України "Про основні засади забезпечення кібербезпеки України", з метою нормативного врегулювання питань забезпечення кіберзахисту в банківській системі України Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про організацію кіберзахисту в банківській системі України (далі - Положення), що додається.

2. Унести до Положення про визначення об'єктів критичної інфраструктури в банківській системі України, затвердженого постановою Правління Національного банку України від 30 листопада 2020 року № 151, такі зміни:

1) пункт 2 викласти в такій редакції:

"2. Це Положення встановлює критерії та порядок віднесення банків України до об'єктів критичної інфраструктури в банківській системі України.";

2) підпункти 2, 4 пункту 3, пункти 8-12 та додаток виключити.

3. Департаменту безпеки (Ігор Коновалов) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.

4. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Кирила Шевченка.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування, крім абзацу другого пункту 12, абзаців третього, п'ятого, шостого підпункту 3 пункту 13 розділу II, підпунктів 1, 3 пункту 24 розділу III, пункту 35 розділу IV Положення, які набирають чинності з 01 січня 2023 року.

1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про основні засади забезпечення кібербезпеки України", з урахуванням Стратегії кібербезпеки України, затвердженої Указом Президента України від 26 серпня 2021 року № 447/2021, Національного стандарту України ДСТУ ISO/IEC 27001:2015 "Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги" (ISO/IEC 27001:2013, Cor 1:2014, IDT), прийнятого наказом Державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 року № 193 (далі - Національний стандарт України ДСТУ ISO/IEC 27001:2015), Національного стандарту України ДСТУ ISO/IEC 27032:2016 "Інформаційні технології. Методи захисту. Настанови щодо кібербезпеки" (ISO/IEC 27032:2012, IDT), прийнятого наказом Державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 27 грудня 2016 року № 448, Національного стандарту України ДСТУ ISO/IEC 27010:2018 "Інформаційні технології. Методи захисту. Керування інформаційною безпекою для міжгалузевих та міжорганізаційних комунікацій" (ISO/IEC 27010:2015, IDT), прийнятого наказом Державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 10 грудня 2018 року № 470 (далі - Національний стандарт України ДСТУ ISO/IEC 27010:2018).

2. Терміни та скорочення в цьому Положенні вживаються в такому значенні:

1) довірені внутрішні джерела інформації - Центр кіберзахисту Національного банку України (далі - Центр кіберзахисту), команда реагування на кіберінциденти в банківській системі України (CSIRT-NBU, англійською мовою Computer Security Incident Response Team of the National Bank of Ukraine), що входить до складу Центру кіберзахисту, банки України;

2) довірені зовнішні джерела інформації - вітчизняні, іноземні та міжнародні команди (центри, групи) реагування на кіберінциденти, ключові постачальники послуг, взаємодія з якими здійснюється на підставі укладених угод (меморандумів) та асоціацій, участь у роботі яких здійснюється на правах офіційного членства;

3) ЄДБО - Єдиний договір банківського обслуговування та надання інших послуг Національним банком України (далі - Національний банк);

4) інформація загальноорганізаційного характеру - інформація, що поширюється під час інформаційного обміну, містить описи національних та міжнародних стандартів, інноваційних методик та практики з питань кіберзахисту, світового та вітчизняного досвіду у сфері кібербезпеки та кіберзахисту, посилання на джерела такої інформації;

5) інформація технічного характеру - інформація, що поширюється під час інформаційного обміну та містить відомості про зразки програмного забезпечення, його вразливості та профілі безпечного налаштування, відомості про зразки апаратних, програмних та апаратно-програмних комплексів і систем кіберзахисту, профілі їх налаштування, описи зразків шкідливого програмного забезпечення та наслідків їх роботи, рекомендації щодо заходів реагування, протидії та нейтралізації наслідків роботи останніх, індикатори кіберзагроз, повідомлення про кібератаки та/або кіберінциденти, рекомендації про необхідність або застереження (заборону) вжиття відповідних заходів;

6) критична інформаційна інфраструктура - сукупність об'єктів критичної інформаційної інфраструктури банку, визначена об'єктом критичної інфраструктури в банківській системі України;

7) об'єкт критичної інформаційної інфраструктури - інформаційна система об'єкта критичної інфраструктури в банківській системі України, кібератака на яку безпосередньо вплине на стале функціонування такого об'єкта критичної інфраструктури;

8) портал Центру кіберзахисту Національного банку - спеціалізований сайт Національного банку, створений для організації роботи та надання сервісів Центром кіберзахисту, що доступний за посиланням https://cyber.bank.gov.ua/ (далі - портал Центру кіберзахисту);

9) реєстр об'єктів критичної інформаційної інфраструктури - відомості про інформаційні системи, які відповідно до вимог цього Положення віднесено до об'єктів критичної інформаційної інфраструктури;

10) система кіберзахисту в банківській системі України - сукупність суб'єктів, упроваджених систем, комплексів та засобів забезпечення кіберзахисту, взаємопов'язаних заходів організаційного, технічного, інформаційного характеру щодо забезпечення належного рівня кібербезпеки та кіберстійкості банківської системи України;

11) MISP-NBU Центру кіберзахисту (англійською мовою Malware Information Sharing Platform of the National Bank of Ukraine) - спеціалізований сайт Національного банку, що побудований на базі платформи з відкритим програмним кодом MISP і доступний за посиланням https://misp.bank.gov.ua/, призначений для організації доступу банків до системи збору, обробки, зберігання і обміну інформацією загальноорганізаційного та технічного характеру в режимі реального часу з урахуванням вимог конфіденційності (далі - MISP-NBU).

Термін "незалежний аудит інформаційної безпеки" вживається в значенні, визначеному Положенням про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг, затвердженим постановою Правління Національного банку України від 16 січня 2021 року № 4 (далі - Положення про контроль № 4).

Термін "об'єкт критичної інфраструктури в банківській системі України" вживається в значенні, визначеному Положенням про визначення об'єктів критичної інфраструктури в банківській системі України, затвердженим постановою Правління Національного банку України від 30 листопада 2020 року № 151 (далі - Положення про ОКІ № 151).

Інші терміни в цьому Положенні вживаються в значеннях, визначених у Законі України "Про основні засади забезпечення кібербезпеки України" та нормативно-правових актах Національного банку.

3. Це Положення розроблено з метою унормування питань організації та забезпечення кіберзахисту і визначає:

1) основні засади функціонування системи кіберзахисту в банківській системі України;

2) принципи забезпечення інформаційного обміну між Центром кіберзахисту і банками України;

3) вимоги стосовно заходів щодо забезпечення кіберзахисту об'єктів критичної інформаційної інфраструктури в банківській системі України;

4) вимоги щодо проведення незалежного аудиту інформаційної безпеки в банківській системі України.

4. Це Положення не встановлює додаткових вимог щодо звітування банків про інциденти інформаційної безпеки / кіберінциденти, яке здійснюється під час складання щорічних звітів з питань оцінювання ризиків інформаційної безпеки / кіберризиків, у порядку, встановленому Положенням про контроль № 4.

5. Національний банк має право здійснювати перевірку стану впровадження заходів щодо забезпечення кіберзахисту, встановлених у розділі IV цього Положення, під час здійснення заходів контролю, передбачених Положенням про контроль № 4.

6. Вимоги цього Положення поширюються на банки України.

Вимоги розділу IV цього Положення поширюються лише на банки України, що визначені об'єктами критичної інфраструктури в банківській системі України відповідно до Положення про ОКІ № 151 (далі - банки ОКІ).

7. Національний банк забезпечує функціонування системи кіберзахисту в банківській системі України (далі - система кіберзахисту) шляхом:

1) нормативно-правового регулювання питань кіберзахисту в банківській системі України з урахуванням кращої європейської та світової практики, міжнародних та національних стандартів з питань кіберзахисту та інформаційної безпеки;

2) організації інформаційного обміну інформацією про кіберзагрози, кібератаки та кіберінциденти з банками України (далі - інформаційний обмін);

3) забезпечення розвитку комунікацій, координації та партнерства між суб'єктами системи кіберзахисту в банківській системі України (далі - суб'єкти кіберзахисту);

4) визначення особливостей кіберзахисту об'єктів критичної інформаційної інфраструктури банківської системи України;

5) сприяння розвитку та вдосконалення систем, комплексів та засобів забезпечення кіберзахисту в банківській системі України;

6) періодичного проведення оцінювання стану кіберзахисту в банківській системі України.

8. Суб'єктами кіберзахисту є:

1) Національний банк;

2) банки України.

9. Об'єктами кіберзахисту в банківській системі (далі - об'єкти кіберзахисту) є:

1) інформаційні системи банку;

2) критична інформаційна інфраструктура банку ОКІ.

10. Функціонування системи кіберзахисту ґрунтується на принципах:

1) пропорційності та адекватності заходів кіберзахисту, що впроваджуються, реальним та потенційним кіберзагрозам;

2) пріоритетності запобіжних заходів;

3) мінімізації кіберризиків у діяльності банку;

4) дотримання вимог нормативно-правових актів Національного банку з питань інформаційної безпеки та кіберзахисту, рекомендацій Національного банку, уключаючи такі, що можуть бути надані Національним банком за результатами контролю відповідно до Положення про контроль № 4;

5) постійної підтримки з боку органів управління банку кіберстійкості банку шляхом організації ефективного управління кіберризиками.

11. Національний банк з метою поєднання та координації зусиль суб'єктів кіберзахисту забезпечує створення та функціонування Центру кіберзахисту.

Національний банк затверджує регламент роботи Центру кіберзахисту та порядок інформаційного обміну, які розміщуються на порталі Центру кіберзахисту.

12. Основними технічними інструментами Центру кіберзахисту є MISP-NBU і портал Центру кіберзахисту.

Банк зобов'язаний забезпечити авторизоване підключення до порталу Центру кіберзахисту та забезпечити роботу й обмін інформацією в обсязі відповідно до розділу III цього Положення, порядку інформаційного обміну та інструкцій користувача порталу Центру кіберзахисту.

Банк ОКІ зобов'язаний забезпечити підключення до MISP-NBU.

Інші банки потребу в підключенні до MISP-NBU визначають самостійно.

Підключення до MISP-NBU здійснюється шляхом приєднання банку до ЄДБО.

13. Центр кіберзахисту забезпечує:

1) реалізацію інформаційного обміну відповідно до розділу III цього Положення;

2) функціонування CSIRT-NBU;

3) координацію дій з питань кіберзахисту в банківській системі шляхом:

інформування банків України про наявні (відомі та/або виявлені) кіберзагрози або зафіксовані спроби вчинення кібератак;

підключення банків до порталу Центру кіберзахисту;

підключення банків до MISP-NBU;

розроблення класифікації кіберінцидентів у банківській системі України та публікацію такої класифікації на порталі Центру кіберзахисту;

розроблення базових рекомендацій з питань забезпечення кіберзахисту для банків України, базових сценаріїв реагування на кіберінциденти та публікацію таких рекомендацій/сценаріїв на порталі Центру кіберзахисту;

надання консультативної допомоги з питань організації кіберзахисту;

4) організацію виконання заходів щодо об'єктів критичної інформаційної інфраструктури відповідно до розділу IV цього Положення;

5) організацію проведення навчально-методичних заходів, навчань з питань кіберзахисту в банківській системі України.

14. Центр кіберзахисту має право отримувати від банків інформацію, документи і матеріали, потрібні для реалізації функцій, зазначених у пункті 13 розділу II цього Положення.

15. CSIRT-NBU забезпечує:

1) реагування на кібератаки або кіберінциденти шляхом:

моніторингу кіберзагроз, збору, накопичення та аналізу даних про кіберінциденти в банківській системі України;

поширення інформації про кіберзагрози, кібератаки, кіберінциденти відповідно до розділу III цього Положення;

аналізу кіберзагроз, вивчення зразків шкідливого програмного забезпечення, формування та поширення інформації про індикатори кіберзагроз відповідно до розділу III цього Положення, розроблення та надання рекомендацій з протидії кіберзагрозам;

надання консультативної допомоги з питань виявлення кіберінцидентів та усунення їх наслідків, реагування та протидії кіберзагрозам;

2) адміністрування (уключаючи розроблення інструкцій користувачів) та інформаційне наповнення порталу Центру кіберзахисту, MISP-NBU;

3) взаємодію з підрозділами кіберзахисту (кібербезпеки) основних суб'єктів національної системи кібербезпеки України, урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA (англійською мовою Computer Emergency Response Team of Ukraine, CERT-UA), довіреними зовнішніми джерелами інформації;

4) надання сервісів щодо виявлення та реагування на кіберінциденти, кібератаки в банківській системі України відповідно до умов ЄДБО.

16. CSIRT-NBU має право:

1) отримувати від банків інформацію, потрібну для здійснення реагування на кібератаки, кіберінциденти в банківській системі України;

2) здійснювати моніторинг інформаційного простору та мережі Інтернет щодо виявлення вразливостей та/або можливої компрометації об'єктів кіберзахисту, витоків електронних даних із банків.

17. Банк зобов'язаний покласти функції із забезпечення кіберзахисту на підрозділ інформаційної безпеки або створити окремий підрозділ з питань кіберзахисту (далі - підрозділ з питань кіберзахисту), що має безпосередньо підпорядковуватися відповідальній особі за інформаційну безпеку банку [англійською мовою Chief Information Security Officer (далі - CISO)].

Банк зобов'язаний визначити права та обов'язки, функції, відповідальність, потрібні професійні знання, досвід і кваліфікацію в посадових інструкціях працівників підрозділу з питань кіберзахисту.

18. Банк як суб'єкт системи кіберзахисту зобов'язаний ужити заходів щодо протидії кіберзагрозам, визначених за результатами аналізу вразливостей об'єктів кіберзахисту та пов'язаних із:

1) наданням, використанням, скасуванням та контролем доступу (уключаючи віддалений доступ) до об'єктів кіберзахисту, контролем використання облікових записів користувачів (уключаючи привілейованих);

2) забезпеченням реєстрації кожним компонентом об'єкта кіберзахисту подій для виявлення кіберінцидентів або ознак кібератак;

3) упровадженням процесу управління кіберінцидентами як складової процесу управління інцидентами безпеки інформації банку;

4) розробленням плану реагування на кіберзагрози, кібератаки та кіберінциденти на об'єктах кіберзахисту (далі - План реагування), узгодженого з політикою інформаційної безпеки, планом забезпечення безперервної діяльності банку та базовими сценаріями реагування на кіберінциденти;

5) здійсненням оперативного реагування на кібератаки та кіберінциденти відповідно до Плану реагування, інформуванням Центру кіберзахисту відповідно до базових сценаріїв реагування на кіберінциденти; наданням на запит CSIRT-NBU інформації, потрібної для здійснення реагування на кібератаки, кіберінциденти в банківській системі України в термін та обсязі, що зазначені в запиті;

6) створенням, зберіганням резервних копій даних, відновленням даних із резервних копій та заміною компонентів об'єктів кіберзахисту в разі виходу їх із ладу відповідно до нормативно-правових актів Національного банку з питань забезпечення безперервності діяльності;