Для страховиків, кредитних спілок, фінансових компаній та ломбардів з 9 грудня 2025 року набула чинності Постанова НБУ №143, яка встановила нові обов’язкові вимоги до інформаційної безпеки та кіберзахисту. До кінця року небанківські фінансові установи мають не лише впровадити засоби захисту інформації, а й повністю задокументувати правила, розподілити повноваження, забезпечити контроль доступу та регулярно переглядати запроваджені заходи.

Основні вимоги

НБУ встановлює обов’язкові умови щодо впровадження системи управління кіберризиками та ризиками інформаційної безпеки, сегментації мереж та захисту інформаційно-комунікаційних систем. Тобто в основі постанови – вимоги щодо побудови чітких процесів в компанії. Окрему увагу приділено відповідальності: фінансові установи повинні призначити відповідальну особу з інформаційної безпеки та затвердити внутрішні документи з кіберзахисту. Перехідний період для виконання всіх вимог завершується 13 грудня 2026 року.

На що варто звернути увагу

1. ІБ як елемент системи керування компанії

Інформаційна безпека має бути частиною системи управління компанією, а не окремою функцією ІТ. Постанова вимагає призначення відповідальної особи з інформаційної безпеки  (це може бути керівник або призначена їм особа), яка відповідатиме за впровадження вимог Постанови.

2. Управління доступами

Доступ надається за принципом мінімальних привілеїв. В Постанові чітко прописані вимоги  до складності паролів:

🔹від 12 символів для користувачів;
🔹15 – для привілейованих користувачів;
🔹Заміна паролів – не пізніше 90 днів;

Доступи потрібно переглядати не рідше одного разу на рік. Кожен окремий користувач системи має отримувати тільки той  рівень доступу, який потрібен йому для роботи. Така архітектура безпеки вже реалізована в рішенні для управління привілейованими доступами – PAM. А для віддаленого доступу обов’язково треба налаштувати багатофакторну автентифікацію (MFA).

3. Мережевий захист

Інформаційно-комунікаційні системи, особливо ті, які мають доступ до інтернету, мають бути захищені. На що звернути увагу:

🔹Захистити всі зовнішні точки доступу до систем (наприклад міжмережеві екрани)
🔹Сегментація мережі та захист від DDoS
🔹Захист від шкідливого ПЗ з актуальною версією
🔹Мінімізувати кількість зовнішніх підключень

4. Актуальне програмне забезпечення

Компанія має використовувати офіційне програмне забезпечення, яке постійно підтримується виробником або постачальником і постійно підтримує оновлення протоколів безпеки

5. Моніторинг інцидентів

Обов’язковим є логування ключових подій безпеки: автентифікації, змін доступів, конфігурацій та спроб входу. Для ефективного моніторингу на практиці автоматично створюються через наявні системи роботи компанії (CRM або білінг). Але щоб краще моніторити логи та отримувати повну картину краще використовувати інструменти SIEM або інші системи централізованого аналізу подій.

6. План реагування

Установа повинна мати затверджений план реагування на інциденти, інтегрований у систему безперервності бізнесу. План має визначати порядок дій, оцінку збитків, комунікацію та взаємодію з підрядниками.

7. Вимоги до підрядників

Підрядники можуть залучатися лише за наявності NDA та в жодному разі не можуть бути пов’язані з державами-агресорами чи підсанкційними особами. Також необхідно перевіряти походження програмного й апаратного забезпечення та місце зберігання даних.

Виконання вимог Постанови НБУ №143 є обов’язковою умовою для продовження діяльності небанківських фінансових установ. Датацентр «ПАРКОВИЙ» забезпечує:

🔹Захищену інфраструктуру відповідно до вимог українських та міжнародних стандартів безпеки: PCI DSS, КСЗІ та ISO (9001, 27001, 27701, 27017, 27018)
🔹Сегментацію мереж, моніторинг та захист – постійно відстежуємо інфраструктуру, виявляємо та усуваємо потенційні ризики
🔹Безперервність роботи сервісів та резервне копіювання даних – гарантуємо стабільність інфраструктури та швидке відновлення у разі інцидентів
🔹Зберігання даних в Україні відповідно до вимог законодавства

Якщо ви хочете скористатись готовою хмарною інфраструктурою, ми підготували готове рішення – датацентр для фінустанов.

Часті запитання

1. З чого почати підготовку до виконання постанови?

Перший крок – провести аудит поточного стану інформаційної безпеки та виявити прогалини відносно вимог постанови. Датацентр «ПАРКОВИЙ» готовий здійснити обробку або зберігання даних за допомогою технології хмарних обчислень та центрів обробки даних, що розміщені на території України та/або за кордоном, що відповідатиме вимогам Постанови НБУ №143.

2. Постанова №143 стосується лише великих компаній?

Ні. Вимоги поширюються на всі небанківські фінансові установи незалежно від розміру. Водночас постанова передбачає пропорційний підхід – мінімально необхідний рівень захисту визначається виходячи з реальних ризиків та обсягу операцій організації.

3. Чи потрібно розробляти внутрішні документи з кіберзахисту?

Так. Постанова вимагає затвердження політик інформаційної безпеки, правил управління доступом, планів реагування на кіберінциденти та вимог до безперервності діяльності

Якщо у вас залишились питання – звертайтеся до нас.