Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Кібербезпека та захист даних у хмарі: як відповідати вимогам Постанови НБУ №99 — практичний гайд

Майстер-клас: секрети випікання найсмачніших млинців!

17.06.2026

З прийняттям Постанови Правління НБУ №99 від 25 серпня 2025 року використання хмарних технологій у фінансовому секторі України отримало чітко регламентовану правову базу. Регулятор формалізував процедури перенесення ІТ-систем та обробки даних на потужності сторонніх провайдерів для банків, небанківських фінансових установ та операторів платіжних систем. Забезпечення комплаєнсу з вимогами НБУ трансформувалося з етапу планування у площину суворої операційної необхідності, проте відсутність належного контролю за хмарною інфраструктурою заразі несе прямі регуляторні та репутаційні ризики. 

Які хмарні сервіси дозволені НБУ?

Постанова №99 легалізує використання ключових моделей надання хмарних послуг для підтримки основних бізнес-процесів:
● IaaS (інфраструктура як послуга): оренда обчислювальних потужностей, серверів та мережевого обладнання.● PaaS (платформа як послуга): використання середовищ для розробки, тестування та розгортання власних застосунків. SaaS (програмне забезпечення як послуга): застосування готових програмних рішень, що розміщені у хмарі. SECaaS (безпека як послуга): аутсорсинг функцій кіберзахисту, включаючи моніторинг інцидентів, захист від DDoS-атак та управління ідентифікацією.
Важливим аспектом є можливість використання приватних, публічних, гібридних та колективних хмар. Вибір конкретної моделі має базуватися на попередньо проведеній оцінці ризиків інформаційної безпеки та вимогах до безперервності діяльності.

Кібербезпека: зони відповідальності та захист даних

Міграція у хмару не позбавляє фінансову установу відповідальності за збереження банківської таємниці та персональних даних клієнтів. Згідно з концепцією розподіленої відповідальності, провайдер гарантує безпеку самої хмарної інфраструктури, тоді як установа відповідає за безпеку даних, що в ній розміщуються.
Особливої уваги потребує контроль за «ланцюговими хмарними послугами». Якщо основний надавач послуг залучає субпідрядників для виконання частини завдань, фінансова установа зобов'язана переконатися, що ці субпідрядники також відповідають усім безпековим та юридичним критеріям НБУ. Рекомендується імплементувати механізми регулярного моніторингу SLA та вимагати від провайдерів актуальні звіти про незалежні аудити безпеки.

Управління ризиками, моніторинг та внутрішній контроль

Впровадження хмарних технологій вимагає застосування ризик-орієнтованого підходу. Делегування функцій з підтримки ІТ-інфраструктури зовнішньому провайдеру не означає делегування відповідальності за безпеку інформаційних активів. 
Постанова №99 встановлює жорсткі рамки внутрішнього контролю для установ-користувачів:
● Персоналізація відповідальності: установа зобов'язана у своїх внутрішніх нормативних документах чітко визначити посадових осіб, відповідальних за впровадження та використання хмарних послуг. Це унеможливлює розмиття зон відповідальності на рівні менеджменту.● Безумовна відповідальність за витік даних: відповідно до законодавства України, саме установа-користувач несе повну юридичну відповідальність за неправомірне розкриття третім особам інформації з обмеженим доступом (зокрема, банківської та комерційної таємниці, персональних даних клієнтів), що сталося під час використання хмарних середовищ.● Контроль доступу провайдера: критичним елементом операційної безпеки є зобов'язання установи здійснювати безперервний моніторинг доступу персоналу надавача хмарних послуг до інформації з обмеженим доступом. Це вимагає впровадження відповідних технічних засобів аудиту подій та контролю привілейованих користувачів.● Комплексний моніторинг подій та інцидентів: установа повинна забезпечити проактивний моніторинг усіх подій, пов'язаних із даними в хмарі. Ця вимога охоплює обов'язкове відстеження та реагування на інциденти інформаційної безпеки, а також події, що призводять до порушення безперервності діяльності та можуть негативно вплинути на якість надання фінансових послуг. 

Як перевірити провайдера: червоні прапорці

Найбільш критичним юридичним обмеженням є категорична заборона на співпрацю з суб'єктами, що мають зв'язки з державою-агресором. Процедура Due Diligence під час вибору або перевірки чинного хмарного провайдера повинна включати перевірку на відсутність:
● розміщення центрів обробки даних на території санкційних країн (РФ, РБ тощо);● реєстрації надавача послуг (або його субпідрядників) у державах-агресорах;● кінцевих бенефіціарних власників або керівників, які є громадянами/резидентами вказаних країн;● застосованих санкцій РНБО України або міжнародних санкційних списків до провайдера чи пов'язаних із ним осіб.
Ігнорування цих критеріїв є прямим порушенням ліцензійних умов і тягне за собою відповідні санкції з боку регулятора.

Покроковий алгоритм дій для забезпечення комплаєнсу

Для приведення ІТ-інфраструктури та договірної бази у відповідність до вимог НБУ необхідно реалізувати наступні кроки:
1. Інвентаризація активів: визначити всі інформаційні системи та дані, що на даний момент обробляються у хмарі.
2. Оцінка ризиків: провести комплексний аудит діючих постачальників хмарних послуг на відповідність санкційним обмеженням та вимогам кібербезпеки.
3. Оновлення нормативної та договірної бази: ініціювати перегляд внутрішніх політик (призначення відповідальних осіб) та підписання оновлених договорів про надання хмарних послуг, які фіксують право на аудит та порядок реагування на інциденти.
4. Офіційне інформування: забезпечити своєчасне подання інформації про укладені договори до Департаменту безпеки НБУ за встановленою формою.
5. Налаштування моніторингу: впровадити технічні рішення для безперервного контролю доступу провайдера до даних та виявлення кіберінцидентів. 

Висновки

Постанова НБУ №99 формує сучасні та безпечні правила управління ІТ-активами. Виконання цих вимог вимагає синергії ІТ-департаменту, служби інформаційної безпеки та підрозділу комплаєнсу. Системний підхід до управління ризиками хмарної інфраструктури дозволить не лише уникнути регуляторних санкцій, а й гарантувати стабільність бізнес-процесів та захищеність клієнтських даних перед сучасними загрозами.

IT Specialist — безпечна інтеграція в майбутнє.

*Цей матеріал є спрощеним поясненням основних вимог Постанови НБУ №99 і не замінює ознайомлення з повним текстом документа. Зверніться до фахівців IT Specialist для отримання повноцінних консультацій!

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124