Про затвердження Положення про захист інформації та кіберзахист учасниками платіжного ринку
{Заголовок із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
{Із змінами, внесеними згідно з Постановою Національного банку
№ 119 від 13.06.2022}
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статей 14, 17, 18, 19, 22, 38 Закону України "Про платіжні системи та переказ коштів в Україні", статей 6, 8 Закону України "Про основні засади забезпечення кібербезпеки України", з метою встановлення вимог щодо забезпечення захисту інформації та кіберзахисту в платіжних системах Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про захист інформації та кіберзахист учасниками платіжного ринку (далі - Положення), що додається.
{Пункт 1 із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
2. Платіжним організаціям платіжних систем, учасникам/членам платіжних систем та операторам послуг платіжної інфраструктури протягом 12 місяців із дня набрання чинності цією постановою:
1) розробити/доопрацювати з урахуванням вимог Положення та затвердити внутрішні документи щодо інформаційної безпеки та кіберзахисту;
2) привести свою діяльність у відповідність до вимог Положення.
3. Департаменту безпеки (Ігор Коновалов) після офіційного опублікування довести до відома платіжних організацій платіжних систем, учасників/членів платіжних систем, операторів послуг платіжної інфраструктури інформацію про прийняття цієї постанови.
4. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Кирила Шевченка.
5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
ПОЛОЖЕННЯ
про захист інформації та кіберзахист учасниками платіжного ринку
{Заголовок Положення із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
{У тексті Положення слова "переказ коштів" у всіх відмінках замінено словами "надання платіжних послуг" у відповідних відмінках згідно з Постановою Національного банку № 119 від 13.06.2022
1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про платіжні послуги", "Про основні засади забезпечення кібербезпеки України", "Про електронні довірчі послуги".
{Пункт 1 розділу I із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
2. Це Положення визначає вимоги та заходи щодо забезпечення захисту інформації, кіберзахисту та інформаційної безпеки у сфері надання платіжних послуг та контроль за їх виконанням.
3. Терміни, що використовуються в цьому Положенні, вживаються в такому значенні:
1) адміністратор - призначена керівником, його заступником або керівним органом суб'єкта інформаційного захисту (далі - керівництво) відповідальна особа, яка забезпечує супровід та управління програмними та/або апаратними засобами чи ресурсами;
{Підпункт 2 пункту 3 розділу I виключено на підставі Постанови Національного банку № 119 від 13.06.2022}
3) віртуальна машина - емуляція комп'ютерної системи, яка забезпечує функціональність фізичного комп'ютера та працює під управлінням гіпервізора;
4) гіпервізор - сукупність програмних та апаратних засобів, що забезпечують паралельне функціонування кількох віртуальних машин на одному комп'ютері, ізолюючи ці віртуальні машини та можливість керування наявними ресурсами, можливість розподілення ресурсів між віртуальними машинами, що використовуються;
5) засіб захисту мережі - програмний або апаратний засіб, який захищає інформаційну систему, що використовується для надання платіжних послуг (далі - IC), від несанкціонованого доступу до її мережевих складових, випадкового або навмисного втручання в роботу мережі;
6) інформаційна безпека - збереження конфіденційності, цілісності та доступності інформації;
7) інцидент інформаційної безпеки - подія або серія подій порушення інформаційної безпеки, які можуть призвести до збитків та втрат для суб'єкта інформаційного захисту або користувачів платіжних послуг;
{Підпункт 7 пункту 3 розділу I із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
8) керівник суб'єкта інформаційного захисту - призначена власником суб'єкта інформаційного захисту посадова особа, яка діє від імені суб'єкта інформаційного захисту, представляє його інтереси в органах державної влади і органах місцевого самоврядування, інших організаціях, у відносинах з юридичними особами та громадянами, формує адміністрацію суб'єкта інформаційного захисту і вирішує питання діяльності суб'єкта інформаційного захисту в межах та порядку, визначених установчими документами;
9) кіберінцидент - подія або сукупність несприятливих подій ненавмисного характеру або таких, що мають ознаки можливої кібератаки, які становлять загрозу безпеці інформаційної інфраструктури, створюють імовірність порушення штатного режиму її функціонування, а також ставлять під загрозу захищеність інформаційних ресурсів;
10) ключовий суб'єкт інформаційного захисту - суб'єкт інформаційного захисту, який належить до однієї категорії або більше:
оператор важливої платіжної системи, якщо він виконує функції технологічного оператора платіжних послуг у цій платіжній системі;
важливий технологічний оператор платіжних послуг;
технологічний оператор платіжних послуг, який надає послуги платіжній системі, створеній нерезидентом, та який отримав дозвіл Національного банку України (далі - Національний банк) надавати свої послуги в Україні;
технологічний оператор платіжних послуг, що надає послуги більше ніж одній платіжній системі;
{Підпункт 10 пункту 3 розділу I в редакції Постанови Національного банку № 119 від 13.06.2022}
11) користувач IC - уповноважений працівник суб'єкта інформаційного захисту, що має можливість здійснювати створення, перегляд, оброблення, модифікацію, збереження та видалення інформації в IC;
12) криптографічний алгоритм - алгоритм, який визначає правила перетворення інформації з метою її криптографічного захисту;
13) критичне приміщення - центр оброблення даних, серверна кімната або інше приміщення, в якому розміщені системи, які здійснюють оброблення, зберігання або передавання платіжних інструкцій та їх архівів та/або інших критичних даних;
{Підпункт 13 пункту 3 розділу I із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
14) критичні дані - дані, несанкціоноване використання або втрата яких призводить до порушення інформаційної безпеки або порушення прав користувачів платіжних послуг;
{Підпункт 14 пункту 3 розділу I в редакції Постанови Національного банку № 119 від 13.06.2022}
15) несанкціонований доступ (далі - НСД) - отримання доступу до комп'ютерної системи або вчинення дій, які призводять до одержання доступу до інформації особою, яка не має прав на перегляд та/або модифікацію цієї інформації без дозволу керівництва або уповноважених ним осіб;
16) суб'єкт інформаційного захисту - надавач платіжних послуг (крім установ електронних грошей, Національного банку, органів державної влади та органів місцевого самоврядування), оператор платіжної системи-резидент та технологічний оператор платіжних послуг у разі надання інших видів послуг, крім оброблення платіжних операцій в міжнародних карткових платіжних системах.
{Підпункт 16 пункту 3 розділу I в редакції Постанови Національного банку № 119 від 13.06.2022}
Інші терміни в цьому Положенні вживаються в значеннях, наведених у законах України та нормативно-правових актах Національного банку.
4. Вимоги цього Положення поширюються на суб'єктів інформаційного захисту, крім філій іноземних платіжних установ, що на законних підставах надають послуги в Україні та використовують засоби захисту інформації відповідно до своїх правил та з урахуванням вимог юрисдикцій, де ці правила були узгоджені, на банки, що є операторами платіжних систем, учасниками платіжних систем та/або надавачами платіжних послуг, у частині питань, що не врегульовані іншими нормативно-правовими актами Національного банку у сфері кіберзахисту та інформаційної безпеки в банківській системі.
{Пункт 4 розділу I в редакції Постанови Національного банку № 119 від 13.06.2022}
5. Вимоги цього Положення не поширюються на операторів платіжних систем, функції яких виконує Національний банк, та учасників таких платіжних систем.
{Пункт 5 розділу I із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
6. Вимоги цього Положення поширюються на:
1) критичні дані, а також бази даних та інформаційні повідомлення між суб'єктами інформаційного захисту, що містять такі дані;
{Підпункт 1 пункту 6 розділу I в редакції Постанови Національного банку № 119 від 13.06.2022}
{Підпункт 2 пункту 6 розділу I виключено на підставі Постанови Національного банку № 119 від 13.06.2022}
{Підпункт 3 пункту 6 розділу I виключено на підставі Постанови Національного банку № 119 від 13.06.2022}
4) сервери та мережеве обладнання, що використовуються для надання платіжних послуг;
5) засоби захисту інформації (технічні та криптографічні);
7. Контроль за виконанням вимог цього Положення здійснює Національний банк.
II. Вимоги до організаційного забезпечення діяльності з питань захисту інформації та кіберзахисту
8. Суб'єкт інформаційного захисту забезпечує виконання вимог цього Положення щодо програмних, апаратних засобів і комплексів, мережевого обладнання, які ним використовуються для надання платіжних послуг, а також щодо документів, передбачених цим Положенням.
9. Керівник суб'єкта інформаційного захисту здійснює загальну організацію діяльності з питань забезпечення захисту інформації, кіберзахисту та інформаційної безпеки.
Керівник суб'єкта інформаційного захисту з цією метою:
1) призначає відповідальних осіб за забезпечення захисту інформації, кіберзахисту та інформаційної безпеки і здійснює контроль за їхньою діяльністю;
2) затверджує політику інформаційної безпеки та документи, зазначені в пунктах 11, 13 розділу III цього Положення.
10. Відповідальні особи за забезпечення захисту інформації, кіберзахисту та інформаційної безпеки суб'єкта інформаційного захисту:
1) організовують виконання вимог цього Положення;
2) здійснюють контроль за виконанням заходів щодо забезпечення кіберзахисту та інформаційної безпеки на всіх стадіях життєвого циклу (проєктування, впровадження, експлуатації та виведення з експлуатації) IC суб'єкта інформаційного захисту;
3) розробляють політику інформаційної безпеки та документи, зазначені в пунктах 11, 13 розділу III цього Положення;
4) здійснюють моніторинг та розслідування інцидентів інформаційної безпеки та кіберінцидентів, які стосуються надання платіжних послуг;
5) організовують контроль за працездатністю засобів захисту інформації та відновлення їх працездатності в разі порушення функціонування;
6) здійснюють контроль за складом і цілісністю програмних та апаратних засобів IC, уживають заходів щодо недопущення встановлення та використання в складі IC програмних і апаратних засобів, не передбачених документами з питань захисту інформації, кіберзахисту та інформаційної безпеки;
7) погоджують зміну програмних та апаратних засобів IC з урахуванням вимог законодавства України та правил платіжних систем щодо захисту інформації, кіберзахисту та інформаційної безпеки;
8) організовують підготовку та підвищення кваліфікації фахівців, які беруть участь у реалізації заходів щодо захисту інформації, кіберзахисту та інформаційної безпеки.
III. Вимоги до нормативного забезпечення діяльності з питань захисту інформації, кіберзахисту та інформаційної безпеки
11. Суб'єкт інформаційного захисту повинен до початку своєї діяльності розробити такі внутрішні документи з питань захисту інформації, кіберзахисту та інформаційної безпеки під час надання платіжних послуг:
{Абзац перший пункту 11 розділу III із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
1) політику інформаційної безпеки, що включає мету, завдання та загальні принципи забезпечення захисту інформації, кіберзахисту та інформаційної безпеки, перелік об'єктів, що підлягають захисту, моделі загроз та моделі порушників, основні положення щодо забезпечення захисту інформації, кіберзахисту та інформаційної безпеки, відповідальність за дотримання положень політики та контроль за її дотриманням;
2) документи, що визначають повноваження та відповідальність персоналу з питань забезпечення захисту інформації, кіберзахисту та інформаційної безпеки;
3) вимоги щодо захисту особистих ключів підписувачів від НСД;
4) методику відновлення та захисту критичних даних у разі втрати, компрометації чи пошкодження криптографічних ключів або носіїв критичних даних.
платіжні інструкції в електронній формі;
вразливі платіжні дані (індивідуальна облікова інформація, особисті криптографічні ключі, паролі доступу, коди операцій, інша інформація, що зазначається в платіжній інструкції та за допомогою якої можуть вчинятися шахрайські дії);
{Підпункт 4 пункту 11 розділу III в редакції Постанови Національного банку № 119 від 13.06.2022}
5) вимоги до паролів, що не суперечать вимогам, визначеним у пункті 12 розділу III цього Положення;
6) вимоги до захисту платіжних інструкцій в електронній формі від несанкціонованого знищення та модифікації.
{Підпункт 6 пункту 11 розділу III доповнено новим підпунктом згідно з Постановою Національного банку № 119 від 13.06.2022}
12. Паролі, які використовує суб'єкт інформаційного захисту, повинні відповідати таким вимогам:
1) паролі користувачів платіжних систем та користувачів IC створюються під час реєстрації;
2) зберігання та передавання паролів здійснюється в захищеному від НСД вигляді;
3) пароль дійсний для одноразового використання не більше 10 хвилин та може передаватися через мережі загального користування (електронна пошта, електронні повідомлення) у разі використання як одного з факторів посиленої автентифікації;
{Підпункт 3 пункту 12 розділу III із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
4) паролі доступу повинні мати довжину не менше восьми символів, серед яких повинні використовуватися малі та великі латинські літери (принаймні одна велика і одна мала літера), арабські цифри (принаймні одна) та спеціальні символи (принаймні один);
5) паролі відповідальних осіб за забезпечення захисту інформації, кіберзахисту та інформаційної безпеки повинні змінюватися не рідше ніж один раз на 120 діб;
6) паролі доступу до облікових записів для адміністрування гіпервізорів та серверів повинні змінюватися не рідше ніж один раз на 90 діб.
13. Ключовий суб'єкт інформаційного захисту зобов'язаний розробити додатково до передбачених у пункті 11 розділу III цього Положення такі внутрішні документи з питань захисту інформації, кіберзахисту та інформаційної безпеки під час надання платіжних послуг:
{Абзац перший пункту 13 розділу III із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
1) політику резервного копіювання, яка повинна містити порядок виконання процедур резервного копіювання критичних даних, регламент перевірки цілісності та працездатності резервних копій;
{Пдпункт 1 пункту 13 розділу III із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
2) політику обмеження використання змінних носіїв інформації;
3) політику захисту від шкідливого програмного забезпечення (далі - ПЗ), зловмисного коду та вірусів.
14. Внутрішні документи, зазначені в пунктах 11, 13 розділу III цього Положення, можуть бути одним документом. Внутрішні документи з питань захисту інформації, кіберзахисту та інформаційної безпеки переглядаються за потреби, але не рідше ніж один раз на два роки, а також у зв'язку зі змінами в законодавстві України або нормативно-правових актах Національного банку.
IV. Управління системою захисту
15. Суб'єкт інформаційного захисту зобов'язаний вживати заходів для забезпечення захисту інформації, кіберзахисту та інформаційної безпеки на всіх стадіях життєвого циклу системи захисту, що використовується для надання платіжних послуг: під час підготовки до експлуатації, під час уведення в експлуатацію, під час експлуатації і під час зняття з експлуатації.
16. Суб'єкт інформаційного захисту під час формування вимог до системи захисту повинен враховувати вимоги до захисту інформації та кіберзахисту законодавства України та цього Положення.
Суб'єкт інформаційного захисту зобов'язаний формувати вимоги до системи захисту інформації за результатами:
1) виявлення джерел загроз інформаційній безпеці та кібербезпеці, оцінювання можливостей потенційних зовнішніх і внутрішніх порушників;
2) аналізу можливих уразливостей всіх складових IC;
3) оцінювання можливих наслідків від виникнення загроз інформаційній безпеці та порушення властивостей системи захисту інформації в цілому.
17. Ключовий суб'єкт інформаційного захисту повинен:
1) забезпечувати безперервну технічну підтримку системи захисту інформації, що ним використовується;
2) проводити функціональні випробування новоствореного чи доопрацьованого ключовим суб'єктом інформаційного захисту ПЗ, що забезпечує захист інформації, перед його впровадженням у дослідну чи промислову експлуатацію;
3) під час розроблення, впровадження та експлуатації власного ПЗ, що використовується для захисту інформації, забезпечувати усунення всіх відомих вразливостей, що впливають на досягнення мети розроблення.
18. Суб'єкт інформаційного захисту зобов'язаний забезпечити розміщення серверів, що використовуються для зберігання та оброблення критичних даних, у критичних приміщеннях. Перелік працівників суб'єкта інформаційного захисту, яким надається право постійного доступу до цих серверів, визначається відповідальною особою та затверджується керівником суб'єкта або його заступником. Доступ інших осіб до цих серверів надається за погодженням із відповідальною особою та в супроводі працівників, які мають право постійного доступу до цих серверів.
{Абзац перший пункту 18 розділу V із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
Суб'єкт інформаційного захисту в разі використання серверного та мережевого обладнання на умовах оренди визначає порядок доступу до цього обладнання на договірних засадах з урахуванням вимог цього Положення.
19. Критичні приміщення мають відповідати таким вимогам:
1) обладнані технічними засобами охорони та засобами відеоспостереження для моніторингу відвідувань;
2) не містять обладнаних постійних робочих місць;
3) використовуються резервні джерела живлення для захисту серверного та мережевого обладнання, що здатні забезпечувати постачання електроенергії на період, необхідний для зберігання результатів роботи та здійснення штатного вимкнення всього обладнання;
4) мережева інфраструктура, яка міститься в критичних приміщеннях, не використовує безпровідні технології;
5) фіксуються дії щодо встановлення, видалення чи заміни носіїв інформації на серверах.
VI. Ідентифікація та автентифікація
20. Суб'єкту інформаційного захисту забороняється під час промислової експлуатації програмних та апаратних засобів здійснювати будь-яку ідентифікацію та автентифікацію з використанням даних, установлених за замовчуванням виробником обладнання.
21. Суб'єкт інформаційного захисту повинен забезпечити виконання таких вимог під час автентифікації користувачів платіжних послуг та користувачів IC у разі віддаленого підключення до таких IC:
{Абзац перший пункту 21 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
1) пароль, що використовується для автентифікації, не повинен передаватися через незахищені мережі та зберігатися в базах даних у відкритому вигляді;
2) повинна застосовуватися посилена автентифікація;
{Підпункт 2 пункту 21 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
3) заборонено використовувати для автентифікації соціальні мережі та інші вебсервіси загального користування.
22. Суб'єкт інформаційного захисту зобов'язаний забезпечити розроблення, документування та періодичне оновлення політики управління доступом, а також заходів, пов'язаних із реалізацією цієї політики.
{Пункт 22 розділу VII із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
23. Політика управління доступом повинна визначати:
1) порядок створення, активації, модифікації, перегляду, блокування, відключення, видалення, контролю за використанням облікових записів користувачів IC, типи облікових записів залежно від їхньої категорії;
2) методи управління доступом, типи доступу користувачів IC до засобів захисту мережі та програмно-апаратних комплексів, які підлягають захисту;
3) правила розмежування доступу користувачів IC.
24. Суб'єкт інформаційного захисту зобов'язаний забезпечити захист інформації щодо надання платіжних послуг, що передається в його внутрішній мережі, від НСД шляхом виконання таких вимог:
1) доступ користувачів платіжних послуг та доступ користувачів IC у разі віддаленого підключення до цих систем повинен здійснюватися через єдину точку мережевого входу з використанням засобу захисту мережі;
{Підпункт 1 пункту 24 розділу VII із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
2) засіб захисту мережі повинен контролювати та фільтрувати IP-адреси і порти віддалених з'єднань та IP-адреси у внутрішній мережі;
3) віддалені з'єднання із засобом захисту мережі повинні протоколюватися;
4) доступ до внутрішніх IP-адрес із мереж загального користування повинен бути неможливим;
5) сервери, що забезпечують функціонування сервісів, відкритих для доступу з мереж загального користування, повинні розміщуватися в демілітаризованій зоні;
6) обмеження доступу між демілітаризованою зоною та іншими сегментами мережі повинно здійснюватися з використанням засобів захисту мережі;
7) шифрування каналу обміну інформацією між серверами, розміщеними в різних критичних приміщеннях та об'єднаними за допомогою мереж загального користування, повинно забезпечуватися з використанням захищених від НСД криптографічних ключів;
8) повинен забезпечуватися захист від НСД вразливих платіжних даних та паролів доступу до серверів і мережевого обладнання.
{Підпункт 8 пункту 24 розділу VII із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
VIII. Захист від шкідливого ПЗ, зловмисного коду та вірусів
25. Суб'єкт інформаційного захисту зобов'язаний забезпечити захист IC від шкідливого ПЗ, зловмисного коду та вірусів шляхом:
1) використання спеціалізованих засобів захисту від зловмисного коду, шкідливого ПЗ та вірусів, їх своєчасного оновлення;
2) визначення переліку ПЗ та переліку складових цього ПЗ, дозволених до використання в IC;
3) використання на серверах лише тих системних утиліт, які необхідні для функціонування серверного ПЗ;
4) своєчасного встановлення пакетів оновлень ПЗ, що випускаються розробниками ПЗ;
5) обмеження переліку складових ПЗ, що запускаються автоматично під час завантаження операційних систем;
6) моніторингу та ведення обліку спроб несанкціонованої зміни ПЗ та блокування таких спроб.
26. Суб'єкт інформаційного захисту зобов'язаний попередити своїх працівників про неприпустимість використання шкідливого ПЗ та ПЗ із порушенням авторського права.
IX. Забезпечення мережевого захисту
27. Адміністратор засобів захисту мережі суб'єкта інформаційного захисту здійснює адміністрування одним із таких способів:
1) шляхом безпосереднього фізичного доступу до консолі пристрою;
2) через захищений від НСД канал доступу з робочого місця адміністратора.
28. Суб'єкт інформаційного захисту під час експлуатації засобу захисту мережі повинен:
1) забезпечити відключення всіх сервісів, які не є необхідними для експлуатації засобу захисту мережі;
2) забезпечити можливість скасування змін, унесених до системи конфігурації засобу захисту мережі, та відновлення попередньої версії внутрішнього ПЗ;
3) розміщувати засіб захисту мережі, реалізований програмними засобами, на окремому сервері (фізичному або віртуальному).
29. Ключовий суб'єкт інформаційного захисту під час експлуатації засобу захисту мережі зобов'язаний забезпечити своєчасне встановлення актуальних оновлень ПЗ засобу захисту мережі від виробника.
30. Суб'єкт інформаційного захисту в разі створення віртуальної приватної мережі для обміну критичними даними повинен використовувати лише ті криптографічні алгоритми шифрування, які є національними стандартами, або ті, на які за результатами державної експертизи Державної служби спеціального зв'язку та захисту інформації України (далі - Адміністрація Держспецзв'язку) видано позитивний експертний висновок.
301. Обмін інформацією між користувачами, надавачами платіжних послуг з обслуговування рахунку та іншими надавачами платіжних послуг (надавачами платіжних послуг, що отримали право на надання нефінансових платіжних послуг, та надавачами послуг із надання відомостей з рахунків) під час доступу до рахунків користувачів забезпечується за допомогою засобів захисту мережі. Суб'єкт інформаційного захисту зобов'язаний в таких випадках здійснювати шифрування інформації за допомогою криптографічних алгоритмів, які є національними стандартами або які мають позитивний експертний висновок Адміністрації Держспецзв'язку.
{Розділ IX доповнено новим пунктом згідно з Постановою Національного банку № 119 від 13.06.2022}
31. Доступ користувачів до складових IC, що перебувають у внутрішній мережі, допускається лише через засіб захисту мережі.
32. Суб'єкту інформаційного захисту під час проєктування та використання своїх IC забороняється використання ПЗ та технічних пристроїв, розробником та/або виробником яких є юридична чи фізична особа, стосовно якої діють спеціальні економічні та інші обмежувальні заходи (санкції), прийняті на національному або міжнародному рівні внаслідок агресії щодо України.
33. Суб'єкт інформаційного захисту зобов'язаний забезпечити блокування облікового запису адміністратора чи користувача IC у разі більше п'яти невдалих спроб автентифікації поспіль (автоматичне блокування).
XI. Вимоги до криптографічних засобів захисту інформації, електронних платіжних засобів та середовища віртуалізації
{Заголовок розділу XI із змінами, внесеними згідно з Постановою Національного банку № 119 від 13.06.2022}
34. Суб'єкт інформаційного захисту зобов'язаний застосовувати засоби криптографічного захисту інформації, що мають діючий сертифікат відповідності або виданий за результатами державної експертизи Адміністрацією Держспецзв'язку позитивний експертний висновок, у разі:
1) створення та перевірки електронних підписів;
2) шифрування криптографічних ключів, а також інформаційних повідомлень між суб'єктами інформаційного захисту, пов'язаними з наданням платіжних послуг, під час їх передавання через мережі загального користування.
{Підпункт 3 пункту 34 розділу XI виключено на підставі Постанови Національного банку № 119 від 13.06.2022}
35. Суб'єкт інформаційного захисту має право використовувати для надання платіжних послуг віртуальні сервери під управлінням гіпервізора з обов'язковим дотриманням таких вимог:
1) повинні реєструватися всі дії адміністраторів віртуальних серверів та гіпервізора;
2) повинен здійснюватися контроль за цілісністю налаштувань гіпервізора;
3) оновлення ПЗ гіпервізора повинно виконуватися виключно адміністратором гіпервізора;
4) гіпервізор, на якому працює одна чи кілька віртуальних машин, повинен бути захищеним від зовнішнього НСД за допомогою окремого засобу захисту мережі;
5) файли образів віртуальних машин повинні зберігатися в нешифрованому вигляді лише в критичних приміщеннях, а їх передавання повинно здійснюватися виключно із забезпеченням конфіденційності та цілісності;
6) дані гіпервізора, необхідні для відновлення його працездатності, повинні зберігатися.
351. Суб'єкт інформаційного захисту повинен використовувати електронні платіжні засоби, що відповідають таким вимогам:
1) дані в електронній формі, що містяться в електронному платіжному засобі, зберігаються в захищеному від НСД вигляді;
2) дані, що містяться в електронному платіжному засобі, не можуть бути доступними в повному обсязі без додаткового підтвердження права на доступ до цих даних;
3) обмін даними, що містяться в електронному платіжному засобі, між учасниками платіжного ринку може здійснюватися лише в захищеному від НСД вигляді;
4) платіжні додатки, розміщені в апаратно-програмному середовищі електронного платіжного засобу, не можуть використовувати дані інших додатків цього електронного платіжного засобу;
5) у разі використання електронного платіжного засобу в кількох платіжних системах, потрібних для ініціювання платіжної операції, дані кожної окремої платіжної системи повинні зберігатися незалежно одні від одних;
6) криптографічні ключі, що вносяться до електронного платіжного засобу під час його емісії, не можуть бути скопійовані та можуть бути використані лише для шифрування/розшифрування даних або для створення/перевірки електронного підпису;
7) якщо електронний платіжний засіб здійснює генерацію криптографічних ключів або виконує інші криптографічні операції, то проводиться зовнішня незалежна перевірка стійкості до атак цього електронного платіжного засобу.
{Розділ XI доповнено новим пунктом згідно з Постановою Національного банку № 119 від 13.06.2022}
XII. Умови використання електронного підпису
36. Філії іноземних платіжних установ або технологічний оператор платіжних послуг, який забезпечує взаємодію з міжнародною платіжною системою, оператором якої є нерезидент, повинні (повинен) укласти договір з оператором такої платіжної системи про визнання електронного підпису.
37. Суб'єкт інформаційного захисту (філія іноземної платіжної установи або технологічний оператор платіжних послуг), якщо платіжна інструкція у формі електронного документа, одержана від оператора міжнародної платіжної системи, не містить визнаного електронного підпису, зобов'язаний створити свій електронний підпис для такої платіжної інструкції відповідно до вимог законодавства України.
38. Суб'єкт інформаційного захисту має право використовувати удосконалений електронний підпис без сертифіката відкритого ключа або чинність відкритого ключа підписувача засвідчується сертифікатом відкритого ключа на договірних засадах. Термін використання особистих ключів та сертифікатів відкритих ключів удосконаленого електронного підпису не повинен перевищувати трьох років.
{Розділ XII в редакції Постанови Національного банку № 119 від 13.06.2022}
XIII. Вимоги щодо фіксації кіберінцидентів та інцидентів інформаційної безпеки і реагування на них
39. Суб'єкт інформаційного захисту зобов'язаний забезпечити розроблення, документування та періодичне оновлення політики управління інцидентами під час надання платіжних послуг, а також заходів, пов'язаних із реалізацією цієї політики.
{Пункт 39 розділу XIII в редакції Постанови Національного банку № 119 від 13.06.2022}
40. Політика управління інцидентами повинна містити:
1) перелік та класифікацію подій, що належать до порушення вимог інформаційної безпеки, інцидентів інформаційної безпеки та кіберінцидентів (далі - події);
2) процедури виявлення та реєстрації подій, збору інформації про події;
3) порядок реагування на події в разі їх виникнення;
4) порядок складання звітів та інформування про події;
5) ролі та відповідальність працівників і адміністраторів за реалізацію політики управління інцидентами.
41. Мінімальні вимоги до IC суб'єкта інформаційного захисту передбачають, що IC повинна забезпечувати автоматичну реєстрацію таких подій:
1) результатів ідентифікації та автентифікації користувачів IC (вдалі та невдалі спроби);
2) фактів створення, видалення, блокування облікових записів користувачів IC;
3) фактів надання та позбавлення користувачів IC права доступу до інформації;
4) результатів виконання користувачем IC операцій з оброблення інформації та спроб несанкціонованої модифікації інформації.
42. Засоби реєстрації подій повинні фіксувати інформацію про дату, час, місце, тип, успішність чи неуспішність кожної зареєстрованої події. Записи про події інформаційної безпеки повинні містити достатньо інформації для визначення події, що сталася, її джерела.
43. Відповідальні особи за забезпечення захисту інформації, кіберзахисту та інформаційної безпеки повинні регулярно переглядати і аналізувати зареєстровані події з метою виявлення незвичайної або підозрілої активності, складати звіти і діяти відповідно до документів суб'єкта інформаційного захисту.
44. Засоби реєстрації подій та записи про зареєстровані події мають бути захищеними від модифікації та знищення користувачами IC, які не мають повноважень адміністратора.
45. Суб'єкт інформаційного захисту зобов'язаний невідкладно повідомити Національний банк, якщо виявлено:
1) події, що містять ознаки злочинів, передбачених у розділі XVI Кримінального кодексу України;
2) події, які класифікуються згідно із Законом України "Про основні засади забезпечення кібербезпеки України" як кіберінциденти;
3) події, що призвели до витоку чи незаконного розголошення інформації з обмеженим доступом, яка обробляється в IC.
46. Повідомлення про події, зазначені в пункті 45 розділу XIII цього Положення, слід надавати одним із таких способів:
1) електронним листом засобами системи електронної пошти Національного банку;
2) електронним листом на офіційну електронну поштову скриньку Національного банку;
3) засобами поштового зв'язку на паперовому носії (у разі неможливості використання вищезазначених засобів електронного зв'язку).