Кібербезпека банківських та комерційних структур

12. Склад вимог до оцінки виконання Оператором, Учасником, Операто- ром Послуг Платіжної Інфраструктури вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів

До складу вимог до оцінки виконання Оператором, Учасником, Оператором Послуг Платіжної Інфраструктури вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів включаються такі вимоги.

а) Учасник, Оператор, Оператор Послуг Платіжної Інфраструктури забезпечують проведення оцінки виконання вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів (далі - оцінка відповідності).

б) Оцінка відповідності здійснюється на основі:

інформації на паперовому носії та (або) в електронному вигляді, що містить підтвердження виконання порядку застосування організаційних заходів захисту інформації та використання технічних засобів захисту інформації;

• аналізу відповідності порядку застосування організаційних заходів захисту інформації та використання технічних засобів захисту інформації вимогам законодавства України;

• результатів контролю (моніторингу) виконання порядку забезпечення захисту інформації при здійсненні переказів грошових коштів.

в) Оцінка відповідності здійснюється Учасником, Оператором, Оператором Послуг Платіжної Інфраструктури самостійно або із залученням сторонніх організацій.

г) Оператор, Учасник, Оператор Послуг Платіжної Інфраструктури забезпечують проведення оцінки відповідності не рідше одного разу на два роки, а також на вимогу НБУ зі змінами, внесеними до законодавчих актів Російської Федерації, нормативні акти Банку Росії, що регулюють відносини в національну платіжну систему.

б) Учасник, Оператор Послуг Платіжної Інфраструктури регламентують порядок вжиття заходів, спрямованих на вдосконалення захисту інформації при здійсненні переказів грошових коштів, у випадках:

• зміни вимог до захисту інформації, визначених Правилами;

• змін, внесених до законодавчих актів України, нормативні акти НБУ, що регулюють відносини в національну платіжну систему;

• зміни порядку забезпечення захисту інформації при здійсненні переказів грошових коштів;

• виявлення загроз, ризиків і вразливостей в забезпеченні захисту інформації при здійсненні переказів грошових коштів;

• виявлення недоліків при здійсненні контролю (моніторингу) виконання порядку забезпечення захисту інформації при здійсненні переказів грошових коштів;

• виявлення недоліків при проведенні оцінки відповідності.

в) Прийняття рішень Учасник, Оператора Послуг Платіжної Інфраструктури щодо вдосконалення захисту інформації при здійсненні переказів грошових коштів узгоджується зі службою інформаційної безпеки.