Постанова НБУ №143: нові вимоги до кіберзахисту небанківського фінансового сектору та практичні підходи до їх реалізації

09 грудня 2025 року Національний банк України затвердив Постанову №143 «Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки та кіберзахисту надавачами фінансових послуг».

Документ встановлює нові вимоги до побудови систем інформаційної безпеки для небанківських фінансових установ, зокрема:

• страхових компаній;
• кредитних спілок;
• фінансових компаній;
• ломбардів.

Важливо: Постанова набула чинності 10 грудня 2025 року. Фінансовим установам необхідно впровадити відповідні рішення та привести ІТ-інфраструктуру у відповідність до вимог НБУ до грудня 2026 року. Це означає, що часу на аудит, вибір рішень та їх впровадження залишається обмежено. Для програмного забезпечення зі статусом EOL (End of Life) передбачено розширений перехідний період — до 2 років.

Фактично мова йде про комплексний підхід до кіберзахисту — від організаційних політик та навчання персоналу до моніторингу інцидентів, контролю доступів, сегментації мережі та захисту кінцевих точок.

Для багатьох організацій це означає необхідність модернізації існуючої IT-інфраструктури та приведення процесів інформаційної безпеки у відповідність до вимог регулятора.

Команда LanTec допомагає реалізовувати технічні та організаційні заходи відповідно до вимог Постанови НБУ №143.

Організаційні заходи та документація

Відповідно до пункту 11.3 Положення, фінансові установи повинні впровадити внутрішні документи, політики та правила у сфері інформаційної безпеки.

LanTec допомагає у:

• розробці політик інформаційної безпеки;
• підготовці регламентів та процедур;
• формуванні правил контролю доступів;
• описі процесів реагування на інциденти.

Також відповідно до пункту 11.5 передбачено проведення навчань з інформаційної безпеки для персоналу.

Моніторинг подій та реагування на інциденти

Положення НБУ окремо акцентує увагу на моніторингу подій безпеки, реєстрації інцидентів та реагуванні на кіберзагрози (пункти 6.2; 13.5; 13.6; 26.X; 44).

Для реалізації цих вимог LanTec впроваджує:

• SIEM;
• UEBA;
• SOAR-рішення на базі FortiSIEM + FortiSOAR.

Такі рішення дозволяють централізовано збирати та аналізувати події безпеки, автоматизувати реагування на інциденти та зменшувати час виявлення загроз.

Захист кінцевих точок та контроль USB-пристроїв

Одним із критичних напрямків Положення є контроль кінцевих точок та зовнішніх носіїв інформації (пункти 13.6; 30; 37; 38).

LanTec реалізовує ці задачі за допомогою:

• Symantec EPP/EDR;
• FortiEndpoint.

Рішення класу EPP/EDR забезпечують захист робочих станцій і серверів, контроль USB-пристроїв, виявлення підозрілої активності та реагування на сучасні кіберзагрози.

Контроль розповсюдження інформації та DLP

Вимоги щодо контролю та маркування інформації визначені у пунктах 29.2 та 37 Положення.

Для цього можуть використовуватись:

• GTB DLP;
• FortiDLP.

DLP-рішення дозволяють контролювати передачу конфіденційної інформації, мінімізувати ризики витоку даних та забезпечувати контроль каналів передачі інформації.

Контроль привілейованих користувачів та PAM

Постанова також приділяє увагу контролю привілейованих користувачів і розділених облікових записів (пункт 31.3).

Для реалізації таких задач LanTec впроваджує:

• Syteca PAM;
• FortiPAM.

PAM-рішення дозволяють контролювати доступ адміністраторів, вести аудит дій привілейованих користувачів та зменшувати ризики несанкціонованого доступу.

Захищений віддалений доступ та MFA

У пунктах 19.X та 20 окремо визначені вимоги до захищеного віддаленого доступу та багатофакторної автентифікації.

Для цього LanTec використовує:

• FortiAuthenticator;
• Microsoft Azure AD;
• FortiClient.

Комбінація VPN та MFA дозволяє забезпечити безпечну роботу співробітників із корпоративними ресурсами незалежно від місця підключення.

Сегментація мережі та контроль підключень

Пункти 25.4; 28.4; 29.1; 29.3 Положення визначають вимоги до сегментації мережі, DMZ, контролю точок виходу в Інтернет та підключення сторонніх пристроїв.

Для реалізації цих задач використовуються:

• FortiGate;
• FortiNAC;
• SiteScope.

Такі рішення дозволяють сегментувати мережу, контролювати доступ пристроїв та підвищувати загальний рівень кіберстійкості інфраструктури.

Ідентифікація користувачів та управління доступами

Окремий блок вимог стосується ідентифікації та автентифікації користувачів, управління паролями, правами доступу та резервного копіювання (пункти 16.X; 17.2; 21; 22; 23; 24; 25; 34.3).

LanTec реалізовує ці задачі на базі:

• Microsoft AD;
• Microsoft Azure AD;
• хмарних рішень резервного копіювання.

Контроль мобільних та віддалених пристроїв

Для управління мобільними та віддаленими пристроями (пункти 16.X; 20) можуть використовуватись:

• Microsoft Intune;
• JAMF;
• VMware Workspace ONE.

MDM/UEM-рішення дозволяють централізовано управляти корпоративними пристроями, політиками безпеки та доступом до корпоративних ресурсів.

Інвентаризація активів та управління конфігураціями

Вимоги щодо інвентаризації активів та контролю стану пристроїв визначені у пунктах 25.4 та 38.

Для цього LanTec використовує:

• SiteScope;
• FortiNAC.

Також відповідно до пункту 26.8 важливим напрямком є управління конфігураціями (Configuration Management), яке може бути реалізоване за допомогою:

• Microsoft Intune;
• FortiSIEM (обмежено).

У сучасних умовах відповідність вимогам регулятора вже напряму пов’язана зі стійкістю бізнесу, довірою клієнтів та безперервністю операційної діяльності.

Саме тому реалізація вимог Постанови НБУ №143 потребує не лише технічних рішень, а й досвідченого технологічного партнера, здатного побудувати цілісну систему кіберзахисту.

LanTec реалізує комплексні проєкти інформаційної безпеки для корпоративного та фінансового сектору, поєднуючи інженерну експертизу, сучасні технології та практичний підхід до кіберстійкості бізнесу.