За ініціативи Незалежної асоціації банків України (НАБУ) відбулася трьохстороння зустріч з представниками банків, Національної комісії з цінних паперів та фондового ринку (НКЦПФР) та Національного банку України (НБУ). Предметом розмови стало питання побудови комплексної системи захисту інформації (КСЗІ) банківськими установами, що значно ускладнює роботу банків, які ведуть депозитарну діяльність. А також дублює або перевищує існуючі вимоги НБУ
Згідно рішення НКЦПФР № 149 від 7.03.2017 банківські установи, які ведуть депозитарну діяльність, зобов’язані у надзвичайно стислі терміни розробити та впровадити комплексну систему захисту інформації (КСЗІ), а також отримати сертифікат відповідності Державної служби спеціального зв’язку та захисту інформації України.
Під час зустрічі банкіри акцентували увагу представників Комісії на низці причин, які ускладнюють виконання цього рішення. А також згадали про те, що регулятором вже встановлені та виконуються вимоги щодо забезпечення інформаційної безпеки, у тому числі при обробці електронних документів. Адже НБУ регулярно проводить цільові та комплексні перевірки і, якщо порушення або недоліки мають місце, банки отримують від перевіряючих регулятора вказівки та рекомендації із чітко визначеними термінами для їх усунення. Дані норми прописані у трьох Постановах Правління НБУ, а саме: «Про затвердження Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи» № 243 від 4 липня 2007, «Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України» № 474 від 28.10.2010 та «Про затвердження нормативно-правових актів з питань інформаційної безпеки» № 829 від 26.11.2015.
Водночас, залишається необхідність виконання вимог Комісії та продовжується робота по впровадженню комплексної системи захисту інформації в банківських установах, що ведуть депозитарну діяльність. Натомість, деякі вимоги або дублюють норми, зазначені в Постановах НБУ, або необґрунтовано перевищують їх. Під час обговорення цієї проблеми член Комісії НКЦПФР Олександр Панченко не погодився з думкою представників банків, які в свою чергу наполягають, що перевищення стосуються як впровадження додаткових засобів та способів захисту інформації в середині приміщень з обмеженим доступом в рамках запропонованої сертифікації КСЗІ, так і самої сертифікації. Тому, переконані представники банків, системи створені банками на виконання вимог регулятора не потребують жодної додаткової сертифікації. А впровадження КСЗІ не тільки недоцільно, але й змушує йти на додаткові та непродуктивні витрати.
Представники регулятора зазначили, що Національним банком ініційований лист до Комісії, в якому вони просять внести зміни до певних положень рішення № 149 для забезпечення виконання вимог.
Присутні погодилися, що для вирішення даного питання необхідно вносити зміни на законодавчому рівні. Тому учасники зустрічі дійшли згоди провести круглий стіл за участі Міністерства юстиції України, Національного депозитарію України та Державної служби спеціального зв'язку та захисту інформації України для обговорення та пошуку спільного рішення по цьому питанню.
Інші статті розділу
29.08.2022