Неофициальный перевод. (с) СоюзПравоИнформ

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА УКРАИНЫ

от 19 мая 2021 года №43

Об утверждении Положения о защите информации и киберзащите участниками платежного рынка

Согласно статьям 7, 15, 56 Закона Украины "О Национальном банке Украины", статьям 14, 17, 18, 19, 22, 38 Закона Украины "О платежных системах и переводе средств в Украине", статьям 6, 8 Закона Украины "Об основных принципах обеспечения кибербезопасности Украины", с целью установления требований по обеспечению защиты информации и киберзащиты в платежных системах Правление Национального банка Украины ПОСТАНОВЛЯЕТ:

1. Утвердить Положение о защите информации и киберзащите участниками платежного рынка (далее - Положение), которое прилагается.

2. Платежным организациям платежных систем, участникам/членам платежных систем и операторам услуг платежной инфраструктуры в течение 12 месяцев со дня вступления в силу этого постановления:

1) разработать/доработать с учетом требований Положения и утвердить внутренние документы по информационной безопасности и киберзащите;

2) привести свою деятельность в соответствие с требованиями Положения.

3. Департаменту безопасности (Игорь Коновалов) после официального опубликования довести до сведения платежных организаций платежных систем, участников/членов платежных систем, операторов услуг платежной инфраструктуры информацию о принятии этого постановления.

4. Контроль за выполнением настоящего постановления возложить на Председателя Национального банка Кирилла Шевченко.

5. Постановление вступает в силу со дня, следующего за днем его официального опубликования.

Утверждено Постановлением Правления Национального банка Украины от 19 мая 2021 года №43

Положение о защите информации и киберзащите участниками платежного рынка

I. Общие положения

1. Это Положение разработано в соответствии с Законами Украины "О Национальном банке Украины", "О платежных услугах", "Об основных принципах обеспечения кибербезопасности Украины", "Об электронных доверительных услугах".

2. Это Положение определяет требования и мероприятия по обеспечению защиты информации, киберзащиты и информационной безопасности в сфере предоставления платежных услуг и контроль за их выполнением.

3. Термины, используемые в настоящем Положении, употребляются в таком значении:

1) администратор - назначенное руководителем, его заместителем или руководящим органом субъекта информационной защиты (далее - руководство) ответственное лицо, которое обеспечивает сопровождение и управление программными и/или аппаратными средствами или ресурсами;

2) Исключен в соответствии с Постановлением Правления Национального банка Украины от 13.06.2022 г. №119

3) виртуальная машина - эмуляция компьютерной системы, которая обеспечивает функциональность физического компьютера и работает под управлением гипервизора;

4) гипервизор - совокупность программных и аппаратных средств, обеспечивающих параллельное функционирование нескольких виртуальных машин на одном компьютере, изолируя эти виртуальные машины и возможность управления имеющимися ресурсами, возможность распределения ресурсов между виртуальными машинами, которые используются;

5) средство защиты сети - программное или аппаратное средство, которое защищает информационную систему, используемую для предоставления платежных услуг (далее - IC), от несанкционированного доступа к ее сетевым составляющим, случайного или преднамеренного вмешательства в работу сети;

6) информационная безопасность - сохранение конфиденциальности, целостности и доступности информации;

7) инцидент информационной безопасности - событие или серия событий нарушения информационной безопасности, которые могут привести к убыткам и потерям для субъекта информационной защиты или пользователей платежных услуг;

8) руководитель субъекта информационной защиты - назначенное собственником субъекта информационной защиты должностное лицо, действующее от имени субъекта информационной защиты, которое представляет его интересы в органах государственной власти и органах местного самоуправления, других организациях, в отношениях с юридическими лицами и гражданами, формирует администрацию субъекта информационной защиты и решает вопросы деятельности субъекта информационной защиты в пределах и порядке, определенных учредительными документами;

9) киберинцидент - событие или совокупность неблагоприятных событий случайного характера или имеющих признаки возможной кибератаки, которые представляют угрозу безопасности информационной инфраструктуры, создают вероятность нарушения штатного режима ее функционирования, а также ставят под угрозу защищенность информационных ресурсов;

10) ключевой субъект информационной защиты - субъект информационной защиты, принадлежащий к одной категории или более:

оператор значимой платежной системы, если он выполняет функции технологического оператора платежных услуг в этой платежной системе;

важный технологический оператор платежных услуг;

технологический оператор платежных услуг, который предоставляет услуги платежной системе, созданной нерезидентом, и который получил разрешение Национального банка Украины (далее - Национальный банк) предоставлять свои услуги в Украине;

технологический оператор платежных услуг, предоставляющий услуги более чем одной платежной системе;

11) пользователь IC - уполномоченный работник субъекта информационной защиты, который имеет возможность осуществлять создание, просмотр, обработку, модификацию, хранение и удаление информации в IC;

12) криптографический алгоритм - алгоритм, который определяет правила преобразования информации с целью ее криптографической защиты;

13) критическое помещение - центр обработки данных, серверная комната или другое помещение, в котором размещены системы, которые осуществляют обработку, хранение или передачу платежных инструкций и их архивов и/или других критических данных;

14) критические данные - данные, несанкционированное использование или потеря которых приводит к нарушению информационной безопасности или нарушению прав пользователей платежных услуг;

15) несанкционированный доступ (далее - НСД) - получение доступа к компьютерной системе или совершение действий, приводящих к получению доступа к информации лицом, которое не имеет прав на просмотр и/или изменение этой информации без разрешения руководства или уполномоченных им лиц;

16) субъект информационной защиты - поставщик платежных услуг (кроме учреждений электронных денег, Национального банка, органов государственной власти и органов местного самоуправления), оператор платежной системы - резидент и технологический оператор платежных услуг в случае оказания других видов услуг, кроме обработки платежных операций в международных карточных платежных системах.

Другие термины в этом Положении употребляются в значениях, приведенных в законах Украины и нормативно-правовых актах Национального банка.

4. Требования настоящего Положения распространяются на субъектов информационной защиты, кроме филиалов иностранных платежных учреждений, которые на законных основаниях оказывают услуги в Украине и использует средства защиты информации согласно своим правилам и с учетом требований юрисдикций, где эти правила были согласованы, на банки, являющиеся операторами платежных систем, участников платежных систем и/или поставщиками платежных услуг, в части вопросов, которые не урегулированы другими нормативно-правовыми актами Национального банка в сфере киберзащиты и информационной безопасности в банковской системе.

5. Требования настоящего Положения не распространяются на операторов платежных систем, функции которых выполняет Национальный банк, и участников таких платежных систем.

6. Требования настоящего Положения распространяются на:

1) критические данные, а также базы данных и информационные сообщения между субъектами информационной защиты, содержащих такие сведения;

2) Исключен в соответствии с Постановлением Правления Национального банка Украины от 13.06.2022 г. №119

3) Исключен в соответствии с Постановлением Правления Национального банка Украины от 13.06.2022 г. №119

4) серверы и сетевое оборудование, которые используются для предоставления платежных услуг;

5) средства защиты информации (технические и криптографические);

6) криптографические ключи.

7. Контроль за выполнением требований настоящего Положения осуществляет Национальный банк.

II. Требования к организационному обеспечению деятельности по защите информации и киберзащите

8. Субъект информационной защиты обеспечивает выполнение требований настоящего Положения в отношении программных, аппаратных средств и комплексов, сетевого оборудования, которые используются для предоставления платежных услуг, а также документов, предусмотренных настоящим Положением.

9. Руководитель субъекта информационной защиты осуществляет общую организацию деятельности по вопросам обеспечения защиты информации, киберзащиты и информационной безопасности.

Руководитель субъекта информационной защиты с этой целью:

1) назначает ответственных лиц за обеспечение защиты информации, киберзащиты и информационной безопасности и осуществляет контроль за их деятельностью;

2) утверждает политику информационной безопасности и документы, указанные в пунктах 11, 13 раздела III настоящего Положения.

10. Ответственные лица за обеспечение защиты информации, киберзащиты и информационной безопасности субъекта информационной защиты:

1) организуют выполнение требований настоящего Положения;

2) осуществляют контроль за выполнением мероприятий по обеспечению киберзащиты и информационной безопасности на всех стадиях жизненного цикла (проектирования, внедрения, эксплуатации и вывода из эксплуатации) IC субъекта информационной защиты;

3) разрабатывают политику информационной безопасности и документы, указанные в пунктах 11, 13 раздела III настоящего Положения;

4) осуществляют мониторинг и расследование инцидентов информационной безопасности и киберинцидентов, которые касаются предоставления платежных услуг;

5) организуют контроль за работоспособностью средств защиты информации и восстановление их работоспособности в случае нарушения функционирования;

6) осуществляют контроль за составом и целостностью программных и аппаратных средств IC, предпринимают меры по недопущению установки и использования в составе IC программных и аппаратных средств, не предусмотренных документами по вопросам защиты информации, киберзащиты и информационной безопасности;

7) согласовывают изменение программных и аппаратных средств IC с учетом требований законодательства Украины и правил платежных систем по защите информации, киберзащите и информационной безопасности;

8) организуют подготовку и повышение квалификации специалистов, участвующих в реализации мероприятий по защите информации, киберзащите и информационной безопасности.

III. Требования к нормативному обеспечению деятельности по защите информации, киберзащите и информационной безопасности

11. Субъект информационной защиты должен до начала своей деятельности разработать следующие внутренние документы по вопросам защиты информации, киберзащиты и информационной безопасности при предоставлении платежных услуг:

1) политику информационной безопасности, которая включает цель, задачи и общие принципы обеспечения защиты информации, киберзащиты и информационной безопасности, перечень объектов, подлежащих защите, модели угроз и модели нарушителей, основные положения по обеспечению защиты информации, киберзащиты и информационной безопасности, ответственность за соблюдение положений политики и контроль за ее соблюдением;

2) документы, определяющие полномочия и ответственность персонала по вопросам обеспечения защиты информации, киберзащиты и информационной безопасности;

3) требования по защите личных ключей подписантов от НСД;

4) методику восстановления и защиты важных данных в случае утери, компрометации или повреждения криптографических ключей или носителей критических данных.

К критическим данным относятся:

платежные инструкции в электронной форме;

уязвимые платежные данные (индивидуальная учетная информация, личные криптографические ключи, пароли доступа, коды операций, иная информация, которая указывается в платежной инструкции и с помощью которой могут совершаться мошеннические действия);

персональные данные;

архивы всех этих данных;

5) требования к паролям, которые не противоречат требованиям, определенным в пункте 12 раздела III настоящего Положения;

6) требования к защите платежных инструкций в электронной форме от несанкционированного уничтожения и модификации.

12. Пароли, которые использует субъект информационной защиты, должны отвечать следующим требованиям:

1) пароли пользователей платежных систем и пользователей IC создаются во время регистрации;

2) хранение и передача паролей осуществляется в защищенном от НСД виде;

3) пароль действителен для одноразового использования не более 10 минут и может передаваться через сети общего пользования (электронная почта, электронные уведомления) в случае использования как одного из факторов усиленной проверки подлинности;

4) пароли доступа должны иметь длину не менее восьми символов, среди которых должны использоваться малые и большие латинские буквы (по крайней мере, одна большая и одна строчная буква), арабские цифры (по крайней мере, одна) и специальные символы (по крайней мере, один);

5) пароли ответственных лиц за обеспечение защиты информации, киберзащиты и информационной безопасности должны меняться не реже, чем один раз в 120 суток;

6) пароли доступа к учетным записям для администрирования гипервизоров и серверов должны меняться не реже, чем один раз в 90 суток.

13. Ключевой субъект информационной защиты обязан разработать дополнительно к предусмотренным в пункте 11 раздела III настоящего Положения такие внутренние документы по вопросам защиты информации, киберзащиты и информационной безопасности при предоставлении платежных услуг:

1) политику резервного копирования, которая должна содержать порядок выполнения процедур резервного копирования критических данных, регламент проверки целостности и работоспособности резервных копий;

2) политику ограничения использования сменных носителей информации;

3) политику защиты от вредоносного программного обеспечения (далее - ПО), вредоносного кода и вирусов.

14. Внутренние документы, указанные в пунктах 11, 13 раздела III настоящего Положения, могут быть одним документом. Внутренние документы по вопросам защиты информации, киберзащиты и информационной безопасности пересматриваются по мере необходимости, но не реже, чем один раз в два года, а также в связи с изменениями в законодательстве Украины или нормативно-правовых актах Национального банка.

IV. Управление системой защиты

15. Субъект информационной защиты обязан принимать меры для обеспечения защиты информации, киберзащиты и информационной безопасности на всех стадиях жизненного цикла системы защиты, которая используется для предоставления платежных услуг: во время подготовки к эксплуатации, во время ввода в эксплуатацию, во время эксплуатации и во время снятия с эксплуатации.

16. Субъект информационной защиты во время формирования требований к системе защиты должен учитывать требования к защите информации и киберзащите законодательства Украины и данного Положения.

Субъект информационной защиты обязан формировать требования к системе защиты информации по результатам:

1) выявления источников угроз информационной безопасности и кибербезопасности, оценки возможностей потенциальных внешних и внутренних нарушителей;

2) анализа возможных уязвимостей всех составляющих IC;

3) оценки возможных последствий возникновения угроз информационной безопасности и нарушения свойств системы защиты информации в целом.

17. Ключевой субъект информационной защиты должен:

1) обеспечивать непрерывную техническую поддержку системы защиты информации, используемой им;

2) проводить функциональные испытания вновь созданного или доработанного ключевым субъектом информационной защиты ПО, которое обеспечивает защиту информации, перед его внедрением в опытную или промышленную эксплуатацию;

3) во время разработки, внедрения и эксплуатации собственного ПО, которое используется для защиты информации, обеспечивать устранение всех известных уязвимостей, влияющих на достижение цели разработки.

V. Физическая защита

18. Субъект информационной защиты обязан обеспечить размещение серверов, используемых для хранения и обработки критических данных, в критических помещениях. Перечень работников субъекта информационной защиты, которым предоставляется право постоянного доступа к серверам, определяется ответственным лицом и утверждается руководителем субъекта или его заместителем. Доступ других лиц к этим серверам предоставляется по согласованию с ответственным лицом и в сопровождении работников, которые имеют право постоянного доступа к серверам.

Субъект информационной защиты в случае использования серверного и сетевого оборудования на условиях аренды определяет порядок доступа к этому оборудованию на договорных началах с учетом требований настоящего Положения.

19. Критические помещения должны соответствовать следующим требованиям:

1) оборудованы техническими средствами охраны и средствами видеонаблюдения для мониторинга посещений;

2) не содержат оборудованных постоянных рабочих мест;

3) используются резервные источники питания для защиты серверного и сетевого оборудования, которые способны обеспечивать поставку электроэнергии на период, необходимый для хранения результатов работы и осуществления штатного отключения всего оборудования;

4) сетевая инфраструктура, которая содержится в критических помещениях, не использует беспроводные технологии;

5) фиксируются действия относительно установки, удаления или замены носителей информации на серверах.

VI. Идентификация и аутентификация

20. Субъекту информационной защиты запрещается во время промышленной эксплуатации программных и аппаратных средств осуществлять любую идентификацию и аутентификацию с использованием данных, установленных по умолчанию производителем оборудования.

21. Субъект информационной защиты должен обеспечить выполнение следующих требований при аутентификации пользователей платежных услуг и пользователей IC в случае удаленного подключения к таким IC:

1) пароль, используемый для аутентификации, не должен передаваться через незащищенные сети и храниться в базах данных в открытом виде;

2) должна применяться усиленная аутентификация;

3) запрещено использовать для проверки подлинности социальные сети и другие вебсервисы общего пользования.

VII. Управление доступом

22. Субъект информационной защиты обязан обеспечить разработку, документирование, и периодическое обновление политики управления доступом, а также мероприятий, связанных с реализацией этой политики.

23. Политика управления доступом должна определять:

1) порядок создания, активации, модификации, просмотра, блокировки, отключения, удаления, контроля за использованием учетных записей пользователей IC, типы учетных записей в зависимости от их категории;

2) методы управления доступом, типы доступа пользователей IC к средствам защиты сети и программно-аппаратным комплексам, подлежащим защите;

3) правила разграничения доступа пользователей IC.

24. Субъект информационной защиты обязан обеспечить защиту информации относительно предоставления платежных услуг, которая передается в его внутренней сети от НСД путем выполнения следующих требований:

1) доступ пользователей платежных услуг и доступ пользователей IC в случае удаленного подключения к этим системам должен осуществляться через единую точку сетевого входа с использованием средства защиты сети;

2) средство защиты сети должно контролировать и фильтровать IP-адреса и порты удаленных соединений и IP-адреса во внутренней сети;

3) удаленные соединения со средством защиты сети должны протоколироваться;

4) доступ к внутренним IP-адресам из сетей общего пользования должен быть невозможным;

5) серверы, обеспечивающие функционирование сервисов, открытых для доступа из сетей общего пользования, должны размещаться в демилитаризованной зоне;

6) ограничение доступа между демилитаризованной зоной и другими сегментами сети должно осуществляться с использованием средств защиты сети;

7) шифрование канала обмена информацией между серверами, размещенными в различных критических помещениях и объединенными с помощью сетей общего пользования, должно обеспечиваться с использованием защищенных от НСД криптографических ключей;

8) должна обеспечиваться защита от НСД уязвимых платежных данных и паролей доступа к серверам и сетевому оборудованию.

VIII. Защита от вредоносного ПО, вредоносного кода и вирусов

25. Субъект информационной защиты обязан обеспечить защиту IC от вредоносного ПО, вредоносного кода и вирусов путем:

1) использования специализированных средств защиты от вредоносного кода, вредоносного ПО и вирусов, их своевременного обновления;

2) определения перечня ПО и перечня составляющих этого ПО, разрешенных к использованию в IC;

3) использования на серверах только тех системных утилит, которые необходимы для функционирования серверного ПО;

4) своевременной установки пакетов обновлений ПО, выпускаемые разработчиками ПО;

5) ограничения перечня составляющих ПО, автоматически запускаемых во время загрузки операционных систем;

6) мониторинга и ведения учета попыток несанкционированного изменения ПО и блокирования таких попыток.

26. Субъект информационной защиты обязан предупредить своих сотрудников о недопустимости использования вредоносного ПО и ПО с нарушением авторского права.

IX. Обеспечение сетевой защиты

27. Администратор средств защиты сети субъекта информационной защиты осуществляет администрирование одним из следующих способов:

1) путем непосредственного физического доступа к консоли устройства;

2) через защищенный от НСД канал доступа с рабочего места администратора.

28. Субъект информационной защиты во время эксплуатации средства защиты сети должен:

1) обеспечить отключение всех сервисов, которые не являются необходимыми для эксплуатации средства защиты сети;

2) обеспечить возможность отмены изменений, внесенных в систему конфигурации средства защиты сети, и восстановление предыдущей версии внутреннего ПО;

3) размещать средство защиты сети, реализованное программными средствами, на отдельном сервере (физическом или виртуальном).

29. Ключевой субъект информационной защиты во время эксплуатации средства защиты сети обязан обеспечить своевременную установку актуальных обновлений программного средства защиты сети от производителя.

30. Субъект информационной защиты в случае создания виртуальной частной сети для обмена критическими данными должен использовать лишь те криптографические алгоритмы шифрования, которые являются национальными стандартами, или те, на которые по результатам государственной экспертизы Государственной службы специальной связи и защиты информации Украины (далее - Администрация Госспецсвязи) выдано положительное экспертное заключение.

30-1. Обмен информацией между пользователями, поставщиками платежных услуг по обслуживанию счета и другими поставщиками платежных услуг (поставщиками платежных услуг, которые получили право на предоставление нефинансовых платежных услуг, и поставщиками услуг по предоставлению сведений со счетов) во время доступа к счетам пользователей обеспечивается с помощью средств защиты сети. Субъект информационной защиты обязан в таких случаях осуществлять шифрование информации с помощью криптографических алгоритмов, являющихся национальными стандартами или имеющих положительное экспертное заключение Администрации Госспецсвязи.

X. Требования к использованию IC

31. Доступ пользователей к составляющим IC, находящимся во внутренней сети, допускается только через средство защиты сети.

32. Субъекту информационной защиты во время проектирования и использования своих IC запрещается использование ПО и технических устройств, разработчиком и/или изготовителем которых является юридическое или физическое лицо, в отношении которого действуют специальные экономические и другие ограничительные меры (санкции), принятые на национальном или международном уровне в результате агрессии в отношении Украины.

33. Субъект информационной защиты обязан обеспечить блокировку учетной записи администратора или пользователя IC в случае более пяти неудачных попыток проверки подлинности подряд (автоматическая блокировка).

XI. Требования к криптографическим средствам защиты, электронных платежных средств информации и среды виртуализации

34. Субъект информационной защиты обязан применять средства криптографической защиты информации, имеющие действующий сертификат соответствия или выданное по результатам государственной экспертизы Администрацией Госспецсвязи положительное экспертное заключение, в случае:

1) создания и проверки электронных подписей;

2) шифрования криптографических ключей, а также информационных сообщений между субъектами информационной защиты, связанных с предоставлением платежных услуг, при их передаче через сети общего пользования;

3) Исключен в соответствии с Постановлением Правления Национального банка Украины от 13.06.2022 г. №119

35. Субъект информационной защиты имеет право использовать для предоставления платежных услуг виртуальные серверы под управлением гипервизора с обязательным соблюдением следующих требований:

1) должны регистрироваться все действия администраторов виртуальных серверов и гипервизоров;

2) должен осуществляться контроль за целостностью настроек гипервизора;

3) обновление ПО гипервизора должно выполняться исключительно администратором гипервизора;

4) гипервизор, на котором работает одна или несколько виртуальных машин, должен быть защищенным от внешнего НСД с помощью отдельного средства защиты сети;

5) файлы образов виртуальных машин должны храниться в нешифрованном виде только в критических помещениях, а их передача должна осуществляться исключительно с обеспечением конфиденциальности и целостности;

6) данные гипервизора, необходимые для восстановления его трудоспособности, должны сохраняться.

35-1. Субъект информационной защиты должен использовать электронные платежные средства, отвечающие таким требованиям:

1) данные в электронной форме, содержащиеся в электронном платежном средстве, хранятся в защищенном от НСД виде;

2) данные, содержащиеся в электронном платежном средстве, не могут быть доступными в полном объеме без дополнительного подтверждения права на доступ к этим данным;

3) обмен данными, содержащимися в электронном платежном средстве, между участниками платежного рынка может осуществляться только в защищенном от НСД виде;

4) платежные приложения, размещенные в аппаратно-программной среде электронного платежного средства, не могут использовать данные других приложений этого электронного платежного средства;

5) в случае использования электронного платежного средства в нескольких платежных системах, необходимых для инициирования платежной операции, данные каждой отдельной платежной системы должны сохраняться независимо друг от друга;

6) криптографические ключи, вносимые в электронное платежное средство во время его эмиссии, не могут быть скопированы и могут быть использованы только для шифрования/расшифровки данных или для создания/проверки электронной подписи;

7) если электронное платежное средство осуществляет генерацию криптографических ключей или выполняет другие криптографические операции, то проводится внешняя независимая проверка устойчивости к атакам этого электронного платежного средства.

XII. Условия использования электронной подписи

36. Филиалы иностранных платежных учреждений или технологический оператор платежных услуг, который обеспечивает взаимодействие с международной платежной системой, оператором которой является нерезидент, должны (должен) заключить договор с оператором такой платежной системы о признании электронной подписи.

37. Субъект информационной защиты (филиал иностранного платежного учреждения или технологический оператор платежных услуг), если платежная инструкция в форме электронного документа, полученная от оператора международной платежной системы, не содержит признанной электронной подписи, обязан создать свою электронную подпись для такой платежной инструкции в соответствии с требованиями законодательства Украины.

38. Субъект информационной защиты имеет право использовать усовершенствованную электронную подпись без сертификата открытого ключа или действие открытого ключа подписанта удостоверяется сертификатом открытого ключа на договорных началах. Срок использования личных ключей и сертификатов открытых ключей усовершенствованной электронной подписи не должен превышать трех лет.

XIII. Требования относительно фиксации киберинцидентов и инцидентов информационной безопасности и реагирования на них

39. Субъект информационной защиты обязан обеспечить разработку, документирование и периодическое обновление политики управления инцидентами во время оказания платежных услуг, а также мероприятий, связанных с реализацией этой политики.

40. Политика управления инцидентами должна содержать:

1) перечень и классификацию событий, относящихся к нарушению требований информационной безопасности, инцидентов информационной безопасности и киберинцидентов (далее - события);

2) процедуры обнаружения и регистрации событий, сбора информации о событиях;

3) порядок реагирования на события в случае их возникновения;

4) порядок составления отчетов и информирования о событиях;

5) роли и ответственность работников и администраторов за реализацию политики управления инцидентами.

41. Минимальные требования к IC субъекта информационной защиты предусматривают, что IC должна обеспечивать автоматическую регистрацию следующих событий:

1) результатов идентификации и аутентификации пользователей IC (удачные и неудачные попытки);

2) фактов создания, удаления, блокирования учетных записей пользователей IC;

3) фактов предоставления и лишения пользователей IC права доступа к информации;

4) результатов выполнения пользователем IC операций по обработке информации и попыток несанкционированной модификации информации.

42. Средства регистрации событий должны фиксировать дату, время, место, тип, успешность или неуспешность каждого зарегистрированного события. Записи о событиях информационной безопасности должны содержать достаточно информации для определения события, которое произошло, ее источники.

43. Ответственные лица за обеспечение защиты информации, киберзащиты и информационной безопасности должны регулярно пересматривать и анализировать зарегистрированные происшествия с целью выявления необычной или подозрительной активности, составлять отчеты и действовать согласно документам субъекта информационной защиты.

44. Средства регистрации событий и записи о зарегистрированных событиях должны быть защищены от модификации и уничтожения пользователями IC, которые не имеют полномочий администратора.

45. Субъект информационной защиты обязан безотлагательно уведомить Национальный банк, если выявлены:

1) события, содержащие признаки преступлений, предусмотренных в разделе XVI Уголовного кодекса Украины;

2) события, которые классифицируются в соответствии с Законом Украины "Об основных принципах обеспечения кибербезопасности Украины" как киберинциденты;

3) события, которые привели к утечке или незаконному разглашению информации с ограниченным доступом, которая обрабатывается в IC.

46. Сообщения о событиях, указанных в пункте 45 раздела XIII настоящего Положения, следует передавать одним из следующих способов:

1) электронным письмом средствами системы электронной почты Национального банка;

2) электронным письмом на официальный электронный почтовый ящик Национального банка;

3) посредством почтовой связи на бумажном носителе (в случае невозможности использования вышеуказанных средств электронной связи).