Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Кібербезпека стосується не лише банків! Постанова НБУ № 143 для страхових, кредитних спілок, фінансових компаній і ломбардів

Майстер-клас: секрети випікання найсмачніших млинців!

22.05.2026

Щодня з’являються нові загрози інформаційній безпеці, відповідно виникають і нові регуляторні вимоги, зокрема Національний Банк України (НБУ) посилює вплив та сформував вимоги до небанківського фінансового сектору. Нові вимоги викладені у Постанові Правління НБУ від 09.12.2025 року № 143 «Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки та кіберзахисту надавачами фінансових послуг» (Постанова НБУ № 143).
Тепер в Україні вимоги з інформаційної безпеки та кібербезпеки до небанківських фінансових установ перестали бути «рекомендованою практикою». Нова постанова вимагає, щоб було реалізовано ризик-орієнтований підхід до інформаційної безпеки та кібербезпеки. Детальніше про цю постанову далі в статті.

Кого стосуються нові вимоги?

Постанова НБУ № 143 прямо визначає коло небанківських фінансових установ (надавачів фінансових послуг), на які поширюються вимоги:
● страховики;● кредитні спілки;● фінансові компанії;● ломбарди.
Проте вимоги цієї постанови не поширюються на надавачів платіжних та супровідних послуг, а також на операторів поштового зв’язку, які мають право здійснювати діяльність з торгівлі валютними цінностями.

Що потрібно захищати?

Ми вже визначили, на кого поширюються вимоги, але наступне важливе питання – до чого саме вони застосовуються? Простіше кажучи: «Що саме потрібно захищати?»
Постанова НБУ № 143 оперує поняттям «об’єкт захисту», і саме з правильного визначення цього об’єкта починається побудова процесів забезпечення інформаційної безпеки.
Важливо розуміти, що об’єкт захисту – це не лише сервери та інші ІТ-компоненти. Це все, що має цінність для бізнесу, регулятора та клієнтів, і втрата або компрометація чого може призвести до фінансових, репутаційних або регуляторних наслідків.
У рамках вимог Постанови НБУ № 143 виділено три ключові категорії:
● інформація, що становить таємницю страхування (для страховиків);● інформація, що становить таємницю фінансової послуги;● інформаційно-комунікаційні системи, які підтримують основні бізнес-процеси та/або взаємодіють із інформаційними системами НБУ.

Основні процеси до впровадження

Практика показує, що найскладнішим етапом для впровадження вимог інформаційної безпеки та кібербезпеки є не купівля та/або модернізація обладнання, а побудова процесів. Оскільки ефективно впроваджені процеси мають залишати докази своєї реалізації, які завжди можна продемонструвати при перевірці. Нижче пропонуємо розглянути ядро процесів, які визначені в Постанові НБУ № 143.
Ризики інформаційної безпеки. Від надавачів фінансових послуг вимагається впровадження процесу управління ризиками інформаційної безпеки та кіберризиками. При цьому надавач фінансових послуг може самостійно визначати підходи та методики їх оцінки, аналізу й обробки. Один із стандартів, який надає настанови щодо управління ризиками інформаційної безпеки є ISO/IEC 27001, прийнятий в Україні як національний стандарт ДСТУ ISO/IEC 27005. Детальніше про цей стандарт та важливість управління ризиками ми описали у іншій статті: «Ризики інформаційної безпеки. Чому це важливо і як з ними працювати відповідно до ISO/IEC 27005?».
Управління та відповідальність. Керівник надавача фінансових послуг повинен реалізувати виконання вимог, призначити відповідальну особу (або виконувати цю функцію самостійно), затверджувати внутрішні документи з питань забезпечення інформаційної безпеки та кібербезпеки (політики, методики, процедури, інструкції тощо), механізми контролю і заходи з управління ризиками інформаційної безпеки та кібербезпеки, а також забезпечити навчання/підвищення кваліфікації відповідальної особи за впровадження вимог з інформаційної безпеки та кіберзахисту.
Роль відповідальної особи та контроль змін. Відповідальна особа має не лише «писати політики», до її функцій входять: забезпечення виконання вимог, організація щорічної актуалізації реєстру програмних і апаратних засобів, моніторинг і розслідування інцидентів інформаційної безпеки та кібербезпеки, контроль ефективності засобів захисту, недопущення несанкціонованих компонентів у системах і погодження змін програмних та апаратних засобів. 
Внутрішня документація з питань інформаційної безпеки та кібербезпеки. Надавачам фінансових послуг потрібно розробити внутрішні документи з питань інформаційної безпеки та кіберзахисту з урахуванням положень Постанови НБУ № 143, а також організувати ознайомлення користувачів і привілейованих користувачів із цими документами (з фіксацією факту ознайомлення). Перелік внутрішніх документів з питань інформаційної безпеки та кіберзахисту для ознайомлення визначається надавачем фінансових послуг з урахуванням принципу мінімальної достатності для досягнення мети і завдань з питань інформаційної безпеки та кіберзахисту.
Водночас надавач фінансових послуг зобов’язаний щорічно переглядати розроблені та затверджені внутрішні документи з питань інформаційної безпеки та кіберзахисту й, у разі потреби або суттєвих змін умов функціонування інформаційних систем, оновлювати їх.
Керування логічним доступом, автентифікацією та обліковими записами. Постанова НБУ № 143 встановлює комплекс вимог до реалізації логічного доступу, спрямованих на те, щоб кожен користувач мав лише необхідний обсяг повноважень, а доступ до інформаційних систем надавався, переглядався та припинявся згідно визначених положень. У практичній площині це охоплює такі ключові елементи:
● формування моделі управління логічним доступом (опис ролей, груп, повноважень), визначення прав на виконання операцій для користувачів, а також здійснення регулярного перегляду прав та повноважень;● розроблення та підтримка в актуальному стані внутрішнього документа з управління логічним доступом (ідентифікація, автентифікація, авторизація, журналювання);● впровадження та використання багатофакторної автентифікації для віддаленого доступу користувачів і привілейованих користувачів (біометрія – лише як один із факторів);● блокування або видалення облікових записів у типових сценаріях (невдалі спроби входу, бездіяльність облікового запису протягом 90 днів, звільнення/зміна ролі, завершення договору з клієнтом тощо);● встановлені вимоги до паролів (мінімальна довжина та складність для звичайних і привілейованих користувачів, частота зміни, обмеження на повторення), а також технічні налаштування на кшталт маскування пароля, автоблокування робочої станції та вимог до ідентифікації пристроїв, які підключаються. 
Журналювання, збереження та контроль журналів подій. Постанова НБУ № 143 вимагає налаштувати інформаційні системи так, щоб здійснювалася реєстрація подій, результатів ідентифікації та автентифікації, фіксувалися події управління логічним доступом, сесій, невдалі спроби входу, зміни паролів і конфігурацій.
Заразом передбачається, що потрібно архівувати журнали подій щонайменше раз на рік і зберігати не менше одного року з моменту архівації (якщо інше не визначено законодавством). Доступ до журналів подій та архівів має бути захищеним і надаватися лише уповноваженій особі. 
Мережевий захист і сегментація. Вимоги також охоплюють сегментацію мережі та обмеження доступу між сегментами, контрольовані точки доступу до зовнішніх мереж, вимоги до відключення невикористаних портів, захист від атак на відмову в обслуговуванні та інших мережевих атак, а також розміщення публічних сервісів у «зоні мережі з підвищеним рівнем безпеки» (простіше кажучи – DMZ або ізольованому сегменті). 
Керування операційними системами (ОС) та програмним забезпеченням (ПЗ). Надавачі фінансових послуг мають використовувати ОС, для яких діє підтримка оновлень безпеки, а також офіційні версії прикладного ПЗ або ПЗ, яке розроблене/підтримується в межах договірних відносин.У разі використання прикладного ПЗ без підтримки, потрібно провести аналіз ризиків, запровадити компенсуючі заходи, задокументувати результати та реалізувати план переходу на підтримувані версії у строк, що не перевищує двох років, якщо інше не передбачено законом.
Контроль змінних носіїв. Передбачається розробка та затвердження внутрішнього документа, який регламентує правила використання, ідентифікацію змінних носіїв, облік і виведення з експлуатації, обмеження категорій даних, правила знищення інформації перед передачею, а також проведення перевірки на наявність шкідливого ПЗ перед використанням. Крім розробки самого документу, ці вимоги мають бути реалізовані практично.
Управління інцидентами інформаційної безпеки та кіберінцидентами. Надавачу фінансових послуг потрібно налагодити ефективний процес реагування на інциденти інформаційної безпеки та кіберінциденти, а також зарегламентувати ці процеси. Зокрема, план має визначати порядок оцінки впливу інцидентів інформаційної безпеки, чіткі ролі та відповідальність під час реагування, включно з діями відповідальної особи, користувачами і привілейованими користувачами, а також механізмами взаємодії між підрозділами. Окремо регламентується порядок інформування керівництва про інциденти інформаційної безпеки, що є критично важливим для своєчасного прийняття управлінських рішень.
Також вимоги охоплюють обов’язкове документування інцидентів інформаційної безпеки – збереження інформації про події, проведений аналіз, ухвалені рішення та результати реагування. З практичного боку це формує основу для подальшого вдосконалення процесу та доказову базу відповідності при здійсненні перевірок.
Аутсорсинг, підрядники та санкційні обмеження. Постанова НБУ № 143 дозволяє залучати зовнішніх виконавців для реалізації заходів з інформаційної безпеки та реагування на кіберінциденти, але договір має містити положення про нерозголошення інформації (NDA), а сам виконавець не повинен бути пов’язаний із державою-агресором, підсанкційними суб’єктами або використовувати інфраструктуру зберігання/обробки даних на заборонених територіях.

Терміни впровадження та наслідки невідповідності

Набрання чинності Постанови НБУ № 143 відбулося 13.12.2025, і на реалізацію визначених вимог є лише один календарний рік, тобто потрібно впровадити вищезгадане до 13.12.2026, і часу залишається небагато.
Щодо наслідків невиконання, то сама Постанова НБУ № 143 вбудовує механіку регуляторного контролю – регулятор має право вимагати інформацію та документи щодо реагування на інциденти інформаційної безпеки та кібербезпеки, а керівник установи зобов’язаний надати достовірні пояснення та/або документи у визначеному форматі та строках. Тобто відсутність розроблених та затверджених документів це окремий операційний ризик, бо його складно компенсувати постфактум.
Юридичні наслідки невиконання вимог залежать від типу установи та визначаються профільним законодавством. Залежно від статусу надавача фінансових послуг НБУ може застосовувати, зокрема, письмові застереження, вимоги щодо усунення порушень, обмеження окремих операцій, штрафи, тимчасове відсторонення посадових осіб, вимогу припинення повноважень керівника та анулювання ліцензії.
Запізнення з впровадженням зазвичай призводить або до «авральної» підготовки без системності та доказової бази, або до зростання втрат у разі інцидентів інформаційної безпеки та кібербезпеки. Саме тому варто розпочинати підготовку вже зараз!

Висновки

Підсумовуючи, Постанова НБУ № 143 – це точно не про просте «встановлення антивірусу» на робочу станцію. Вона дійсно задає темп у розвитку інформаційної безпеки та кібербезпеки небанківським фінансовим установам. З погляду підготовки до впровадження найкраща стратегія – не просто «встигнути до терміну», а побудувати ефективні процеси. Для реалізації цього варто почати з наступних кроків:
● провести gap-assessment відповідності вимогами Постанови НБУ № 143;● пріоритезувати впровадження контролів;● розробити внутрішню документацію з питань інформаційної безпеки та кібербезпеки, яка є «мінімально достатньою» і відповідає вимогам;● впровадити необхідні засоби захисту та технічні контролі відповідно до визначених ризиків інформаційної безпеки та кібербезпеки, а також вимог Постанови НБУ № 143.
Для того щоб пройти цей шлях системно та без зайвих ризиків, доцільно залучати профільних фахівців. Такий підхід дозволяє скоротити час на інтерпретацію вимог, уникнути «паперової необхідності» та зосередитися на побудові ефективних процесів. Компанія IT Specialist має практичний досвід впровадження процесів інформаційної безпеки та кібербезпеки для замовників і допомагає не лише досягти відповідності регуляторним вимогам, а й підвищити «реальну» кіберстійкість бізнесу.

IT Specialist — безпечна інтеграція в майбутнє.

Автор статті: Дмитро Чуб (Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів)

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124