НБУ пропонує врегулювати використання «хмари» фінансовими установами

24.01.2025

Національний банк України пропонує визначити порядок застосування технології хмарних обчислень та використання хмарних послуг фінансовими установами відповідно до Закону України «Про хмарні послуги». Проєкт постанови про це опубліковано для громадського обговорення за посиланням (надалі – «Постанова»). Зауваження та пропозиції до проєкту постанови приймалися до 19 січня 2025 року. 

Постанова, крім загальних засад застосування та використання IaaS, PaaS, SaaS, SECaaS та інших хмарних послуг (ХП), визначає також вимоги до договору про хмарні послуги. НБУ пропонує також врегулювати організаційне забезпечення використання ХП, оцінювання ризиків діяльності при використанні «хмари» фінансовими установами та вимоги до інформування про це НБУ. 


Серед ключових нововведень:

_
Вимоги Постанови застосовуватимуться лише до банків, надавачів фінансових послуг, операторів платіжних систем, учасників платіжних систем, технологічних операторів платіжних послуг, які використовуються хмарні послуги (надалі – «Користувачі ХП»).

_
Дозволено надання хмарних послуг Користувачам ХП одним надавачем таких послуг із залученням іншого (надалі – «Ланцюгові ХП»).

_
Надавач хмарних послуг (надалі – «Надавач ХП») має відповідати міжнародним стандартам інформаційної безпеки, що має підтверджуватись відповідним сертифікатом. Надавач ХП зобов’язаний надавати його щорічно протягом строку дії договору про хмарні послуги (надалі – «Договір ХП»).

_
Користувачі ХП зобов’язані створити план забезпечення безперервної діяльності, який має включати наступні пункти:  

  • відновлення роботи в разі зупинки роботи Надавача ХП;  
  • відновлення функціонування системи резервування для гарантованого відновлення роботи інформаційних систем Користувача ХП і збереження інформації з обмеженим доступом;  
  • порядок дій для забезпечення безперервності у разі припинення використання хмарних послуг та/або у випадку переходу до іншого Надавача ХП.

_
Користувачі ХП зобов’язані запровадити власні заходи контролю системи безпеки Надавача ХП та здійснювати моніторинг доступу до інформації з обмеженим доступом, розпорядником/власником якої є Користувач ХП.

_
Користувач ХП зобов’язані провести аналіз, щонайменше, таких ризиків перед використанням хмарних послуг:  

  • порушення безперервності діяльності, цілісності та доступності даних при переході від одного Надавача ХП до іншого;  
  • недостатнього контролю діяльності Надавача ХП; 
  • зростання впливу можливих збоїв в роботі Надавача ХП; 
  • порушення роботи Користувача ХП при недоступності інформаційних систем, послуг та даних у випадку, якщо Надавач ХП раптово припинить свою діяльність;  
  • невідповідності Надавача ХП умовам Договору;  
  • розбіжностей в обробці інформації з обмеженим доступом між законодавством України та законодавством країни реєстрації ХП;  
  • порушення розділення даних при використанні спільної інфраструктури;  
  • кібератак;  
  • Ланцюгових ХП.

Користувач ХП зобов’язаний повідомити НБУ про Договір ХП протягом одного місяця після його укладення. Аналогічний реченець в один місяць для повідомлення НБУ встановлено і для випадків зміни та/чи розірвання Договору.  

Зміни регуляторного режиму, запропоновані у Постанові, покращать застосування ХП і контроль за їхньою якістю, а також посилять безпеку учасників фінансового ринку завдяки ефективнішим практикам управління операційними ризиками.  

Важливо: попри відсутність у Постанові колізійних норм щодо обмежень на транскордонну передачу персональних даних, передбачених Законом України «Про захист персональних даних», такі застереження далі діють в порядку системного тлумачення норм. Адже великi Надавачі ХП (AWS, MS Azure, Google Cloud разом мають частку в 2/3 глобального ринку) мають дата-центри за межами України, і Користувач ХП несе ризик невідповідності каналів передачі даних законодавству України.  

Крім застережень в законі про персональні даних, закон про ХП також встановлює обмеження:  

  • ХП не можна надавати із розміщенням будь-яких технічних засобів  на окупованих територіях України, на території держав-агресорів та держави-окупанта 
  • Не можна користуватися технічними засобами, які є у володінні держави або суб’єкти, до яких урядом України застосовано санкції.