НКЦПФР рішенням №149 від 07.03.2017 року встановила строки для створення депозитарними установами комплексної системи захисту інформації (КСЗІ).
1. Для забезпечення захисту інформації, що міститься в системі депозитарного обліку, при її обробці в інформаційних та інформаційно-телекомунікаційних системах (далі – ІТС):
1) депозитарним установам згідно з переліком, що надається (далі – Перелік), здійснити такі дії:
а) протягом чотирьох місяців з дня прийняття цього рішення:
- провести обстеження середовища функціонування ІТС, які використовуються ними в професійній діяльності,
- визначити (уточнити) потенційні загрози для інформаційної безпеки організації,
- розробити (за відсутності) політики інформаційної безпеки організації,
- скласти (за відсутності) плани захисту інформації,
- розробити плани усунення виявлених недоліків,
- розробити (за відсутності) згідно затверджених методик, нормативних документів та державних стандартів технічні завдання на створення КСЗІ в ІТС або внести до наявних технічних завдань на створення КСЗІ в ІТС необхідні зміни та доповнення;
б) протягом п’яти робочих днів після закінчення строку, встановленого підпунктом «а» підпункту 1 цього пункту:
- надати до НКЦПФР звіт про результати виконання заходів, передбачених зазначеним підпунктом, із наведенням реквізитів відповідних розпорядчих документів;
в) протягом шести місяців після закінчення строку, встановленого підпунктом «а» підпункту 1 цього пункту:
- забезпечити виконання розроблених планів усунення недоліків інформаційної безпеки з урахуванням вимог розділу ІХ Положення про провадження депозитарної діяльності, затвердженого рішенням НКЦПФР від 23.04.2013 № 735, зареєстрованого в Мін'юсті 27.06.2013 за № 1084/23616 (із змінами), у частині створення КСЗІ;
г) протягом п’яти робочих днів після закінчення строку, встановленого підпунктом «в» підпункту 1 цього пункту:
- повідомити НКЦПФР про результати виконання цього рішення та надати копії відповідних документів, що підтверджують створення КСЗІ відповідно до вимог Положення;
2) ПАТ «Національний депозитарій України» здійснити такі дії:
а) протягом трьох місяців з дня прийняття цього рішення:
- для програмних продуктів, які надаються Центральним депозитарієм у користування депозитарним установам згідно з Переліком для виконання ними професійної діяльності, розробити загальну схему процесу взаємодії програмного забезпечення Системи обробки інформації депозитарних установ з серверною частиною Центрального депозитарію;
б) забезпечити надання депозитарним установам необхідної інформаційної підтримки для створення ними КСЗІ в ІТС в частині наданих їм у користування Центральним депозитарієм для виконання ними професійної діяльності програмних продуктів та інших засобів передавання та (або) обробляння інформації;
3) Національному Банку України рекомендувати забезпечити надання депозитарним установам необхідної інформаційної підтримки та технічної документації щодо наданих їм у користування Національним банком України для виконання ними професійної діяльності програмних продуктів та інших засобів передавання та (або) обробляння інформації.