Идет загрузка документа (214 kByte)
Главный правовой
портал Украины
Главный правовой
портал Украины
Остаться Попробовать

Об утверждении нормативно-правовых актов по вопросам информационной безопасности (неофициальный текст)

Субъект законодательной инициативы
Проект, Неофициальный текст от 14.08.2015

ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ

ПОСТАНОВА

____________.2015

м. Київ

N ___

Про затвердження нормативно-правових актів з питань інформаційної безпеки

Відповідно до статей 7, 56 Закону України "Про Національний банк України", з метою врегулювання взаємовідносин між Національним банком України і банками України, їх філіями, державними, небанківськими установами, які використовують засоби захисту інформації Національного банку України, та у зв'язку з унормуванням централізованого порядку укладання та ведення договорів щодо забезпечення засобами захисту інформації Національного банку України, Правління Національного банку України

ПОСТАНОВЛЯЄ:

1. Затвердити:

1) Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, що додається;

2) Правила організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, що додаються;

3) Положення про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту Національного банку України, що додається.

2. Визнати такою, що втратила чинність, постанову Правління Національного банку України від 02 квітня 2007 року N 112 "Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України", зареєстровану в Міністерстві юстиції України 24 вересня 2007 року за N 419/13686, зі змінами.

3. Департаменту інформаційної безпеки (Лук'янов Д. О.) довести зміст цієї постанови до відома Центральної розрахункової палати Національного банку України, банків України, їх філій, органів Державної казначейської служби України, інших органів державної влади, небанківських установ, які використовують засоби захисту інформації Національного банку України, для застосування в роботі.

4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Смолія Я. В.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

 

Голова

В. О. Гонтарева

 

Положення
про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України

I. Загальні положення

1. Це Положення розроблено відповідно до статті 7 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність", Законів України "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України (далі - Національний банк).

2. У тексті Положення терміни та скорочення вживаються в такому значенні:

Адміністратор інформаційної безпеки - фахівець з питань інформаційної безпеки, призначений наказом по організації для забезпечення впровадження та підтримки роботи засобів захисту Національного банку в цій організації;

АКЗІ - апаратура криптографічного захисту інформації;

АРМ - автоматизоване робоче місце;

АРМ бухгалтера САБ - автоматизоване робоче місце САБ, на якому здійснюється формування файлів / онлайнових пакетів, які містять початкові платежі СЕП;

АРМ-НБУ-інф - автоматизоване робоче місце АРМ-НБУ-інформаційний з програмними засобами захисту інформації, яке призначене для роботи в інформаційних задачах Національного банку;

ВК - відкритий ключ;

електронна пошта НБУ - електронна пошта Національного банку;

ЕЦП - електронний цифровий підпис;

засоби захисту - засоби захисту інформації, які є власністю Національного банку і використовуються в СЕП та інформаційних задачах;

захист інформації - захист електронної банківської інформації, захист електронних банківських документів;

криптобібліотеки - бібліотеки криптографічних функцій: накладання та перевірки ЕЦП, шифрування та дешифрування інформації;

інформаційні задачі - програмно-технічні комплекси автоматизації банківської діяльності, які забезпечують оброблення та передавання інформації, що не належить до платіжної та технологічної інформації системи електронних платежів, з використанням засобів захисту інформації Національного банку між банками України, їх філіями, Національним банком, органами державної влади і небанківськими установами;

організація - банки України та їх філії, державні і небанківські установи, які є безпосередніми учасниками СЕП та/або інформаційних задачі і використовують засоби захисту;

організація-замовник - банки України, державні і небанківські установи, які укладають договір про використання засобів захисту інформації Національного банку України (далі - договір) з Національним банком, у тому числі за свої філії;

підрозділ контролю стану інформаційної безпеки Департаменту інформаційної безпеки - структурний підрозділ Департаменту інформаційної безпеки Національного банку (далі - Департамент інформаційної безпеки), до функцій якого відноситься перевірки стану інформаційної безпеки та захисту електронних банківських документів з використанням засобів захисту в організаціях;

ПМГК - програмний модуль генерації ключів;

регіональне представництво Національного банку - структурний підрозділ Департаменту інформаційної безпеки, працівники якого мають робочі місця в територіальних управліннях Національного банку;

САБ - система автоматизації банку;

система захисту інформації Національного банку (далі - система захисту) - сукупність методів і засобів, що включає апаратно-програмні, програмні засоби захисту, ключову інформацію та систему розподілу ключової інформації, технологічні засоби контролю та організаційні заходи;

СЕП - система електронних платежів Національного банку;

СК - смарт-картка;

сувора автентифікація - ідентифікація кожного користувача за ознакою володіння своїм секретним ключем;

ТК - таємний ключ;

Інші терміни та скорочення, що вживаються в цьому Положенні, використовуються в значеннях, визначених Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року N 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за N 1035/12909 (зі змінами), Законом України "Про електронні документи та електронний документообіг", стандартами Національного банку України з управління інформаційною безпекою.

3. Положення містить принципи побудови системи захисту електронних банківських документів та організаційні питання щодо отримання та повернення засобів захисту організаціями.

4. Організації отримують засоби захисту для використання в СЕП незалежно від моделі обслуговування кореспондентського рахунку в СЕП та/або інформаційних задачах Національного банку і взаємодіють по усім поточним питанням роботи із засобами захисту з регіональними представництвами Національного банка за місцем їх розташування.

5. Організації, які використовують засоби захисту, зобов'язані виконувати організаційні заходи інформаційної безпеки щодо використання, зберігання, обліку засобів захисту згідно з Правилами організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України (далі - Правила).

6. Підрозділ контролю стану інформаційної безпеки здійснює перевірку дотримання вимог Правил в організаціях.

7. Організація зобов'язана узгоджувати з регіональним представництвом Національного банку питання, які можуть виникати під час роботи із засобами захисту і які не передбачені Правилами.

У виняткових ситуаціях, які унеможливлюють взаємодію організації з регіональним представництвом Національного банку, організація для виконання всіх функцій, що стосуються регіонального представництва Національного банку, визначених в цьому документі звертається до Департаменту інформаційної безпеки або до визначеного Національним банком регіонального представництва в іншому регіоні.

8. Керівник організації забезпечує дотримання вимог щодо інформаційної безпеки в ній, визначених цими Правилами.

II. Принципи побудови системи захисту електронних банківських документів

9. Система захисту створена для забезпечення конфіденційності та цілісності електронної інформації на будь-якому етапі її оброблення, а також суворої автентифікації учасників СЕП, учасників інформаційних задач і фахівців організацій, які беруть участь у підготовці й обробленні електронних документів.

10. Для забезпечення цілісності інформації, суворої автентифікації та безперервного захисту електронних банківських документів з часу їх формування система захисту використовує механізми формування (перевірки) ЕЦП на базі несиметричних алгоритмів RSA та ДСТУ 4145-2002.

11. Організація для забезпечення захисту інформації має трибайтний унікальний ідентифікатор, перший символ якого є літерою відповідної території, на якій вона розташована, другий і третій символи є унікальними ідентифікаторами організації у межах цієї території.

Трибайтний ідентифікатор відповідає унікальній адресі організації в електронній пошті НБУ. Він записується в ПМГК та АКЗІ, який надається організації та не може бути нею змінений, що забезпечує захист від підроблення ключової інформації від імені іншої організації.

Трибайтний ідентифікатор організації є складовою частиною ідентифікатора ключа криптографічного захисту, що складається із шести символів, з яких перші три є ідентифікатором організації, четвертий символ визначає тип робочого місця учасника СЕП (операціоніст, бухгалтер тощо) або тип інформаційної задачі, п'ятий і шостий - ідентифікатор робочого місця або відповідальної особи.

12. Організація забезпечує захист електронних банківських документів за допомогою таких криптографічних засобів захисту:

а) апаратно-програмних засобів захисту, до складу яких входять АКЗІ, СК, програмне забезпечення керування АКЗІ, що вбудоване в АРМ-СЕП і не може бути вилучене, з відповідними незаповненими таблицями відкритих ключів та криптобібліотеками;

б) програмних засобів захисту, до складу яких входять програмний модуль для шифрування, вбудований в АРМ-СЕП, ПМГК з відповідними незаповненими таблицями відкритих ключів, апаратних носіїв ключової інформації, криптобібліотек.

13. Національний банк виконує побудову ключової системи криптографічного захисту. Ця система складається з ключів програмних засобів захисту, що генеруються в організаціях за допомогою наданих ПМГК, і ключів апаратних засобів захисту, які генеруються безпосередньо АРМ-СЕП за допомогою АКЗІ.

14. Основними засобами захисту в АРМ-СЕП є АКЗІ.

Генерація ключової пари (ТК та ВК) для АКЗІ відповідно до алгоритму ДСТУ 4145-2002 здійснюється на комп'ютері, де розміщується АРМ-СЕП, за допомогою програмного забезпечення керування АКЗІ, що вбудоване в АРМ-СЕП. Для забезпечення безперебійної роботи АРМ-СЕП з апаратурою захисту ТК повинен записуватися на дві смарт-картки (основну та резервну). Ключова інформація під час роботи АКЗІ використовується виключно на рівні АКЗІ, що унеможливлює підроблення та перехоплення ключової інформації.

Адміністратор АРМ-СЕП зобов'язаний здійснити перехід до роботи з програмними засобами захисту в разі виходу з ладу АКЗІ.

15. За допомогою ПМГК організація має змогу генерувати ключову пару (ТК та ВК) відповідно до алгоритму RSA для всіх робочих місць, де працюють з електронними банківськими документами. Кожен ТК робочого місця захищений особистим паролем відповідальної особи, яка працює з цим ключем.

Для забезпечення захисту ключової інформації від несанкціонованої модифікації ВК мають надсилатися до Департаменту інформаційної безпеки для сертифікації (крім ВК для робочих місць операціоністів, що використовуються лише в САБ).

Департамент інформаційної безпеки здійснює сертифікацію ВК та надсилає засобами електронної пошти НБУ на адресу організації відповідні сертифікати ВК. Організація зобов'язана вжити заходів щодо своєчасного оновлення ТВК відповідно до експлуатаційної документації для АРМ-СЕП, АРМ-НБУ-інф та інформаційних задач.

16. Департамент інформаційної безпеки через регіональне представництво Національного банку надає організації АКЗІ разом із СК та/або ПМГК відповідно до встановленого порядку (розділ III цього Положення).

Департамент інформаційної безпеки надає криптобібліотеки безкоштовно всім організаціям, які використовують засоби захисту, для вбудовування в програмне забезпечення САБ або інше відповідне програмне забезпечення.

17. В організації використовуються такі засоби захисту:

N
з/п

Найменування засобів захисту

Кількість

1

АКЗІ

1

2

СК

2

3

ПМГК

1

4

Копія ПМГК

1

5

ТК АРМ-СЕП

1

6

ТК АРМ-НБУ-інф

1

7

ТК АРМ бухгалтера САБ

За кількістю відповідальних осіб, але не більше 5

8

ТК технолога

За кількістю відповідальних осіб, але не більше 5

9

ТК операціоністів

За кількістю відповідальних осіб

10

ТК інших робочих та технологічних місць для інформаційних задач

За вказівками Національного банку

Примітки. Засоби захисту, які зазначені в рядках 1, 2, 5, 7, 8, 9 таблиці, використовуються лише в організаціях - безпосередніх учасниках СЕП.

Центральна розрахункова палата Національного банку надає консультації щодо супроводження АРМ-СЕП/АРМ-НБУ-інф, а також технологічного процесу проходження електронних платежів у СЕП та електронних документів в інформаційних задачах.

III. Порядок отримання і повернення засобів захисту

18. Умовами для надання засобів захисту інформації є:

укладення договору між організацією та Національним банком незалежно від моделі обслуговування консолідованого кореспондентського рахунку;

забезпечення відповідності вимог до приміщень, у яких обробляються електронні банківські документи, використовуються та зберігаються засоби захисту інформації, вимогам, що визначені Правилами;

призначення службових осіб, які відповідають за зберігання та використання засобів захисту інформації;

лист-доручення відповідальній особі за отримання засобів захисту організації про отримання конкретних засобів захисту інформації.

19. Департамент інформаційної безпеки від імені Національного банку через регіональне представництво Національного банку та організація-замовник укладають між собою договір відповідно до зразку, викладеному у додатку 1 до цього Положення.

Організація-замовник зобов'язана внести зміни до договору у разі:

а) переходу на роботу з однієї моделі обслуговування консолідованого кореспондентського рахунку на іншу;

б) зміни місцезнаходження своєї філії на іншу область України.

Організація-замовник зобов'язана переукласти договір у разі зміни свого місцезнаходження на іншу область України через регіональне представництво Національного банку за новим місцезнаходженням і отримати засоби захисту з новим ідентифікатором, який відповідає новому місцезнаходженню.

20. Відповідальна особа за отримання засобів захисту організації зобов'язана прибути до регіонального представництва Національного банку з документом, який засвідчує особу, та листом-дорученням або довіреністю, які надають право на отримання/заміну засобів захисту.

21. Регіональне представництво Національного банку разом з документом на отримання/заміну засобів захисту зберігає один примірник, а організація - другий примірник акта про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 2), за яким АКЗІ зі смарт-картками передається в організацію, а також зберігає копію супровідного листа, а організація - супровідний лист, згідно з яким ПМГК передається в організацію.

Криптобібліотеки постачаються разом з АРМ-СЕП і АРМ-НБУ-інф, у тому числі в разі їх оновлень - разом з оновленнями програмного забезпечення цих АРМ. Криптобібліотеки та програмний модуль криптографічного захисту інформації, вбудований в АРМ-СЕП, обліку і поверненню не підлягають.

22. Організація, яка отримала засоби захисту, не має права:

передавати третім особам, установам чи організаціям, а також іншим установам однієї юридичної особи крім визначених у договорі;

використовувати їх в інших платіжних системах банків, у територіально відокремлених відділеннях (філіях) банків, якщо ці відділення (філії) не є безпосередніми учасниками СЕП та/або інформаційних задач, якщо їх працівники працюють у САБ банку (філії), системах "клієнт-банк" тощо.

23. Організація зобов'язана повідомляти регіональне представництво Національного банку про порушення роботи із засобами захисту засобами електронної пошти НБУ протягом одного робочого дня. Орієнтовний перелік порушень в організації роботи із засобами захисту наведено в додатку 3.

24. Організація зобов'язана повернути засоби захисту до регіонального представництва Національного банку в разі:

а) ліквідації;

б) припинення роботи із засобами захисту, а саме:

виходу з СЕП;

переходу на роботу з однієї моделі обслуговування консолідованого кореспондентського рахунку на іншу;

зміною місцезнаходження на іншу область України;

виходу з ладу засобів захисту;

в) виявлення порушень в організації захисту електронних банківських документів.

25. Організація зобов'язана повернути АКЗІ разом із СК до регіонального представництва Національного банку в разі виходу АКЗІ з ладу або отримання від Департаменту інформаційної безпеки листа з вимогою повернення засобів захисту протягом трьох робочих днів згідно з актом про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 2), один примірник якого зберігає регіональне представництво Національного банку, другий - організація.

26. Організація в разі її ліквідації та у випадках, передбачених підпунктом "б" пункту 25, крім виходу з ладу засобів захисту, зобов'язана:

а) повідомити регіональне представництво Національного банку про передбачувані строки і порядок виходу організації із СЕП, переходу на іншу модель роботи або зміни місцезнаходження, погодити перелік засобів захисту, що підлягають поверненню до регіонального представництва Національного банку;

б) ужити заходів щодо повернення до регіонального представництва Національного банку, знищення на місці і передавання до архіву організації засобів захисту, справ, журналів обліку зі складанням акта приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 2) та акта про повернення до регіонального представництва Національного банку, знищення і передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку (додаток 4);

в) надіслати до регіонального представництва Національного банку вищезазначені документи, один примірник яких зберігає регіональне представництво Національного банку, другий - організація.

27. У випадках проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, під час якої можуть виникнути умови втрати контролю за засобами захисту, питання про доцільність повернення або знищення засобів захисту і відповідного програмного забезпечення має вирішуватися залежно від ситуації, що склалася. Засоби захисту в організації не мають право вилучатися будь-ким, окрім Національного банку.

В разі можливої компрометації засобів захисту слід терміново повідомити про це регіональне представництво Національного банку.

28. Організація, яка використовує засоби захисту, зобов'язана виконувати організаційні вимоги щодо їх отримання, використання та зберігання і своєчасної заміни відповідних ключів до них.

Департамент інформаційної безпеки має право вилучати з організації засоби захисту в разі невиконання вимог щодо використання та зберігання засобів захисту і вимог до приміщень.

IV. Заходи інформаційної безпеки в СЕП

29. Технологічні засоби контролю, вбудовані в програмно-технічні комплекси СЕП, не можуть бути відключені. У разі виникнення нестандартної ситуації або підозри щодо несанкціонованого доступу ЦОСЕП автоматично формує повідомлення для оперативного реагування адміністратором ЦОСЕП.

30. Основним засобом шифрування файлів (пакетів) СЕП є АКЗІ. Робота АКЗІ контролюється вбудованими в ЦОСЕП і АРМ-СЕП програмними засобами захисту інформації і забезпечує апаратне шифрування (розшифрування) інформації за стандартом ДСТУ ГОСТ 28147:2009.

Як резервний засіб шифрування в СЕП використовується вбудована в ЦОСЕП і АРМ-СЕП функція програмного шифрування.

31. Засоби шифрування ЦОСЕП і АРМ-СЕП (як АКЗІ, так і програмне шифрування) забезпечують сувору автентифікацію відправника та отримувача електронного банківського документа, цілісність кожного документа в результаті неможливості його підробки або несанкціонованого модифікування в шифрованому вигляді.

АРМ-СЕП і ЦОСЕП у режимі реального часу забезпечують додаткову сувору взаємну автентифікацію під час установлення сеансу зв'язку.

Під час роботи АРМ-СЕП створює шифровані архіви оброблених електронних банківських документів та захищений від модифікації журнал роботи АРМ-СЕП, у якому фіксуються всі дії, що ним виконуються, із зазначенням дати та часу оброблення електронних банківських документів. Наприкінці банківського дня шифровані архіви та журнал роботи АРМ-СЕП підлягають обов'язковому збереженню в архіві.

32. Департамент інформаційної безпеки надає банкам (філіям) інформаційні послуги щодо достовірності інформації за електронними банківськими документами у разі виникнення спорів.

Департамент інформаційної безпеки розшифровує копію шифрованого архіву учасника СЕП за його наявності та з абсолютною достовірністю визначає:

ідентифікатор банку - учасника СЕП, який надіслав (зашифрував) електронний банківський документ;

ідентифікатор банку - учасника СЕП, якому адресовано електронний банківський документ;

дату, годину та хвилину виконання шифрування електронного банківського документа;

дату, годину та хвилину розшифрування електронного банківського документа;

відповідність усіх електронних цифрових підписів, якими був захищений від модифікації електронний банківський документ.

Під час використання АКЗІ додатково визначаються:

номер апаратури захисту, на якій виконувалося шифрування або розшифрування електронного банківського документа;

номер смарт-картки, якою користувалися під час шифрування або розшифрування електронного банківського документа.

Департамент інформаційної безпеки надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо учасники СЕП:

кожного робочого дня формують і надійно зберігають архіви роботи АРМ-СЕП, до яких мають входити журнали програмного та апаратного шифрування та захищені від модифікації протоколи роботи АРМ-СЕП;

надають копії архівів АРМ-СЕП за відповідний банківський день.

33. Департамент інформаційної безпеки надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо між учасниками СЕП виникли спори з питань, пов'язаних з електронними банківськими документами, у разі:

невиконання автентифікації або розшифрування електронного банківського документа;

відмови від факту одержання електронного банківського документа;

відмови від факту формування та надсилання електронного банківського документа;

ствердження, що одержувачу надійшов електронний банківський документ, а насправді він не надсилався;

ствердження, що електронний банківський документ був сформований та надісланий, а він не формувався або було надіслане інше повідомлення;

виникнення спору щодо змісту одного й того самого електронного банківського документа, сформованого та надісланого відправником і одержаного та правильно автентифікованого одержувачем;

роботи з архівом учасника СЕП під час проведення ревізій тощо.

Департамент інформаційної безпеки надає учасникам СЕП письмові відповіді щодо порушених питань.

V. Внутрішній контроль за станом інформаційної безпеки в організації

34. Внутрішній контроль за станом інформаційної безпеки відповідно до вимог нормативно-правових актів Національного банку у діяльності організації забезпечують:

керівник організації (особа, яка виконує його обов'язки);

заступник керівника організації або особа, яка за своїми службовими обов'язками чи за окремим розпорядчим документом організації призначена відповідальною за організацію інформаційної безпеки.

35. Адміністратор інформаційної безпеки забезпечує поточний контроль за станом засобів захисту в організації.

36. Службові особи організації, які відповідають за інформаційну безпеку, зобов'язані надавати письмові або усні відомості про стан засобів захисту та їх використання, стан захисту інформації в програмному забезпеченні САБ та інших системах, на які поширюються вимоги Національного банку щодо інформаційної безпеки, технологію оброблення електронних банківських документів в організації та систему захисту інформації під час їх оброблення на вимогу Департаменту інформаційної безпеки або регіональних представництво Національного банку.

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

ПОГОДЖЕНО:

 

Заступник Голови
Національного банку України

Я. В. Смолій

 

ДОГОВІР N ___
про використання засобів захисту інформації Національного банку України

(Зразок)

м. ____________

________________________
(дата)

Національний банк України (далі - Виконавець) в особі
____________________________________________________ ________________________________,
                                                     (посада)                                                                                     (прізвище, ім'я, по батькові)
який діє на підставі ____________________________________________ від ____________ N ___, та
                                                                                        (назва документа)
________________________________________________________________ (далі - Замовник) в особі
                                                            (найменування організації)
____________________________________________________________________, який діє на підставі
                                                              (посада, прізвище, ім'я, по батькові)
_________________________________________________ від ____________ N ___ (далі - Сторони),
                                                    (назва документа)
уклали цей договір про таке.

1. Предмет договору

1.1. Виконавець зобов'язується надати Замовнику та його установам засоби захисту інформації Національного банку України (далі - засоби захисту) для використання їх у системі електронних платежів Національного банку України (далі - СЕП) та/або у програмно-технічних комплексах автоматизації банківської діяльності, які забезпечують оброблення та передавання інформації, що не належить до платіжної та технологічної інформації СЕП, між банками України, їх філіями, органами державної влади і небанківськими організаціями (далі - інформаційні задачі) згідно з додатком 1 до договору.

1.2. Використання, зберігання та приймання-передавання засобів захисту інформації здійснюються відповідно до нормативно-правових актів Національного банку України з питань інформаційної безпеки.

2. Права та обов'язки Сторін

2.1. Виконавець має право:

перевіряти Замовника та його установи, які отримали засоби захисту згідно з додатком 1 до договору, щодо дотримання ними вимог захисту інформації та правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, установлених Національним банком України;

зупиняти обслуговування Замовника та/або його установ у разі порушень ним правил роботи із засобами захисту або передавання (навіть тимчасово) отриманих Замовником та його установами засобів захисту третім особам, установам чи організаціям, а також іншим установам Замовника крім визначених у додатку 1 до договору;

запроваджувати нові програмно-технічні та технологічні засоби, розроблені для поліпшення послуг, що надаються Замовнику;

надсилати електронне повідомлення до територіального управління Національного банку України, що обслуговує кореспондентський (консолідований кореспондентський) рахунок банку, для договірного списання коштів у разі ненадходження від Замовника оплати за виконані Виконавцем роботи та надані послуги в сумі та в строк, що обумовлені в розділі 3 цього договору.

2.2. Замовник та його установи мають право:

користуватися наданими засобами захисту в СЕП та/або інформаційних задачах;

отримувати від Виконавця консультації з питань, пов'язаних з експлуатацією та зберіганням засобів захисту;

використовувати надані програмні модулі генерації ключів (далі - ПМГК) криптографічного захисту інформації для робочих місць системи автоматизації банку, СЕП та інформаційних задач згідно з діючою технологією.

2.3. Виконавець бере на себе зобов'язання:

правильно та своєчасно надавати Замовнику та його установам засоби захисту з потрібною документацією до них та консультації з питань захисту інформації і правил користування засобами захисту;

своєчасно інформувати Замовника про зміни, які планується вносити в систему захисту інформації Національного банку України;

здійснювати заміну апаратури криптографічного захисту інформації (далі - АКЗІ) в разі виходу її з ладу та безкоштовний ремонт, крім випадків, зазначених у пункті 4.2 цього договору;

забезпечувати своєчасну заміну ПМГК у разі їх пошкодження або виходу з ладу, крім випадків, зазначених у пункті 4.2 цього договору.

2.4. Замовник бере на себе зобов'язання:

не передавати (навіть тимчасово) отримані ним засоби захисту, які використовуються в СЕП та інформаційних задачах, третім особам, установам чи організаціям, а також іншим установам Замовника крім визначених у додатку 1 до договору;

дотримуватися технологічної дисципліни в роботі із засобами захисту, забезпечувати їх експлуатацію і зберігання згідно з наданими Виконавцем інструкціями. Негайно інформувати Виконавця про виникнення порушень умов зберігання та використання засобів захисту і вживати заходів для їх усунення;

утримувати засоби захисту в належному стані;

забезпечувати цілісність голографічної наклейки на АКЗІ;

не використовувати надані засоби захисту для завдань, які не обумовлені наявними інструкціями;

забезпечувати наявність потрібних технічних засобів для підключення АКЗІ згідно з вимогами Виконавця;

забезпечувати транспортування засобів захисту до місця її встановлення в Замовника та до місця її заміни у Виконавця;

своєчасно здійснювати оплату Виконавцю за виконані роботи та надані послуги;

передати (повернути) Виконавцю засоби захисту та документацію до них протягом трьох робочих днів після припинення дії цього договору;

сплачувати Виконавцю встановлену нормативно-правовими актами Національного банку України суму за проведення фахівцями Національного банку України аналізу в разі:

повторно виявлених у Замовника порушень вимог захисту інформації та правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, установлених Національним банком України;

втрати або пошкодження АКЗІ у СЕП;

пошкодження голографічної наклейки на АКЗІ;

втрати або пошкодження смарт-картки для АКЗІ;

втрати або пошкодження ПМГК та його повторного надання на заміну втраченого або пошкодженого ПМГК.

3. Порядок розрахунків

3.1. Виконавець щомісяця до ____ числа надсилає Замовнику засобами системи електронної пошти Національного банку України розрахунок за виконані роботи та надані послуги згідно з тарифами на операції (послуги), установленими нормативно-правовими актами Національного банку України. У разі внесення Національним банком України змін до тарифів розмір оплати змінюється з часу набрання чинності цими змінами (без укладення додаткового договору). Замовник має здійснити оплату за розрахунком (у тому числі пені) до першого числа наступного місяця.

Акт про виконані роботи та надані послуги з підписами та відбитком печатки Виконавець надсилає Замовнику за потребою (запитом) засобами поштового зв'язку.

3.2. Розрахунок за виконані роботи, надані послуги за неповний робочий місяць (укладення, розірвання договору) здійснюється за фактично відпрацьовані дні місяця.

3.3. У разі ненадходження оплати від Замовника протягом місяця Виконавець без додаткового погодження надсилає електронне повідомлення до територіального управління Національного банку України, що обслуговує кореспондентський (консолідований кореспондентський) рахунок банку, для договірного списання суми згідно з розрахунком. Для заповнення реквізиту "Призначення платежу" Виконавець в електронному повідомленні зазначає номер і дату договору, за якими має здійснюватися договірне списання.

4. Відповідальність Сторін

4.1. Виконавець несе відповідальність перед Замовником за правильне та своєчасне надання засобів захисту Замовнику та його установам для забезпечення можливості роботи в СЕП та в інформаційних задачах Національного банку України.

4.2. Замовник відшкодовує Виконавцю фактичні збитки за втрачені засоби захисту (викрадені, загублені тощо) або ті, що вийшли з ладу (у результаті механічних та інших пошкоджень, пов'язаних з порушенням технології використання), якщо встановлено вину Замовника.

4.3. У разі порушення умов зберігання та використання засобів захисту Замовник відшкодовує Виконавцю пов'язані з цим фактичні збитки.

4.4. У разі прострочення оплати за виконані роботи та надані послуги Замовник сплачує Виконавцю суму боргу з урахуванням установленого індексу інфляції за весь час прострочення і ____ проценти річних з простроченої суми.

5. Форс-мажор

5.1. Сторони договору звільняються від відповідальності за часткове або повне невиконання будь-якого з положень цього договору, якщо це невиконання стало наслідком причин, що перебувають поза сферою контролю Сторони, яка його не виконала. Такі причини включають стихійне лихо, надзвичайні погодні умови, пожежі, війни, страйки, військові дії, громадські заворушення, але не обмежуються ними (далі - форс-мажор). Період звільнення від відповідальності починається з часу оголошення однією із Сторін форс-мажору і закінчується (чи закінчився б), якщо ця Сторона вжила заходів, яких вона і справді могла б ужити, для виходу з форс-мажору. Форс-мажор автоматично продовжує строк виконання зобов'язань на весь період його дії та ліквідації наслідків. Про настання форс-мажорних обставин Сторони мають інформувати одна одну невідкладно.

5.2. Якщо зазначені обставини триватимуть більше ніж 6 місяців, то кожна із Сторін матиме право відмовитися від подальшого виконання зобов'язань за цим договором і в такому разі жодна із Сторін не матиме права на відшкодування іншою Стороною можливих збитків.

6. Порядок зміни та розірвання договору

6.1. Будь-які зміни до цього договору в період його дії вносяться у письмовій формі шляхом укладання додаткових договорів або шляхом обміну листами.

У разі внесення змін шляхом обміну листами зміни до цього договору вважаються внесеними після надання іншою Стороною письмової згоди на внесення відповідних змін.

У листі-пропозиції, підписаному уповноваженою особою від імені однієї із Сторін, повинні бути викладені умови договору, що потребують унесення змін, дата вступу в дію цих додаткових умов, застереження, що всі інші умови договору залишаються без змін. У листі в обов'язковому порядку має бути посилання на номер і дату укладення договору, що потребує унесення змін. У листі-відповіді, підписаному уповноваженою особою від імені другої Сторони, має бути зазначено погодження з унесенням до Договору відповідних змін.

6.2. Додатковий договір стає невід'ємною частиною цього договору і набирає чинності з дня підписання обома Сторонами.

6.3. У разі внесення змін шляхом обміну листами, зміни до цього договору вважаються унесеними після надання іншою Стороною письмової згоди на унесення відповідних змін.

6.4. Сторона, яка вважає за потрібне змінити чи розірвати договір, надсилає пропозиції про це другій Стороні.

6.5. Сторона, яка одержала пропозицію про зміну чи розірвання договору, у двадцятиденний строк після одержання пропозиції повідомляє другій Стороні про результати її розгляду.

6.6. Якщо Сторони не досягли згоди щодо зміни (розірвання) договору або в разі неодержання відповіді у встановлений строк з урахуванням часу поштового обігу, зацікавлена Сторона має право передати вирішення спору до суду.

6.7. У разі зміни однією із Сторін будь-яких реквізитів, що зазначені в розділі 10 цього договору, Сторона, яка змінила реквізити, у строк до _____ днів після їх зміни письмово повідомляє про це другу Сторону. Сторона, яка одержала це повідомлення, має письмово повідомити другу Сторону про його одержання.

7. Порядок розгляду спорів

7.1. Спори, що виникають протягом дії договору, вирішуються шляхом переговорів.

7.2. У разі недосягнення згоди шляхом переговорів спори вирішуються у суді.

8. Строк дії договору

8.1. Договір, укладений на строк _________, набирає чинності з дня його підписання.

8.2. Дія договору припиняється у випадках, передбачених законодавством України.

9. Інші умови договору

9.1. Цей договір складено в двох примірниках, що мають однакову юридичну силу, по одному для кожної із Сторін.

9.2. Взаємовідносини Сторін, що не визначені цим договором, регулюються законодавством України.

10. Місцезнаходження, банківські реквізити, ідентифікаційні коди Сторін

10.1. Місцезнаходження, банківські реквізити, ідентифікаційний код Виконавця:

________________________
________________________

10.2. Місцезнаходження, банківські реквізити, ідентифікаційний код Замовника:

________________________
________________________

10.3. Для вирішення всіх питань, пов'язаних з виконанням цього договору, відповідальними представниками є:

від Виконавця _____________________________

від Замовника _____________________________

_________________________________________

_________________________________________

Виконавець _______________________________
                                                        (підпис)

Замовник _________________________________
                                                          (підпис)

                                            М. П.

                                               М. П.

Примітки.

Сторони можуть змінювати умови, які передбачені цим договором умови, а також установлювати інші умови, що мають відповідати законодавству України, у тому числі нормативно-правовим актам Національного банку України.

Організації, які отримують тільки програмні засоби захисту, укладають договір за цим зразком з виключенням з нього підпунктів та слів, що стосуються апаратних засобів захисту.

Організації, які не мають підпорядкованих установ або територіальних органів, укладають договір за цим зразком з виключенням з нього підпунктів та слів, що стосуються установ Замовника та без додатка до договору.

 

Перелік установ Замовника, які отримують засоби захисту інформації Національного банку України

N
з/п

Назва установи та адреса розташування

Ідентифікатор установи в СЕП / інформаційних задачах

АКЗІ

ПМГК

ПЗ АРМ-СЕП

ПЗ АРМ-НБУ

1

ПАТ "..."

 

так

так

так

так

2

Філія ПАТ "..." м. ..., вул. ...

 

ні

так

ні

так

...

 

 

 

 

 

 

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

 

ЗАТВЕРДЖЕНО
Директор (заступник директора) Департаменту інформаційної безпеки Національного банку України
________________________________
                   (підпис, ініціали, прізвище)
"___" ____________ 20__ р.

 

М. П.

АКТ
про приймання-передавання апаратних засобів захисту інформації Національного банку України

м. ____________

"___" ____________ 20__ р.

Представник регіонального представництва Національного банку України _____________________
                                                                                                                                                                                   (ініціали, прізвище)
та представник ________________________________________________________________________
                                                         (найменування організації)                                                (ініціали, прізвище)
відповідно до договору від __________________ N _________ здійснили передавання таких засобів захисту інформації Національного банку України:

- апаратури криптографічного захисту N _________ у комплекті;

- смарт-карток N ___________.

Примітка. Подається перелік засобів захисту інформації Національного банку України, що передаються з наданням номерів, які візуально доступні для зчитування на засобах захисту інформації.

Здав _____________________________
                          (підпис, ініціали, прізвище)

Прийняв _________________________
                              (підпис, ініціали, прізвище)

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

Орієнтовний перелік порушень в організації роботи із засобами захисту інформації Національного банку України

1. Використання засобів захисту інформації Національного банку України у внутрішній платіжній системі організації, у територіально відокремлених філіях (відділеннях), які не є безпосередніми учасниками СЕП та/або інформаційних задач Національного банку України, системі "клієнт-банк" тощо.

2. Неправильний розподіл повноважень відповідальних осіб, які використовують засоби захисту інформації Національного банку України.

3. Порушення правила про те, що кожний платіжний документ організації має бути підписаний не менше ніж двома відповідальними особами цієї організації.

4. Допуск адміністратора захисту інформації або адміністратора САБ до оброблення електронних платежів.

5. Порушення правил генерації, використання та зберігання таємних ключів.

6. Використання засобів захисту інформації особами, які не були призначені відповідальними за роботу із засобами захисту інформації Національного банку України згідно з розпорядчим документом організації.

7. Передавання засобів захисту інформації Національного банку України в інші організації та використання засобів захисту інформації Національного банку України, які були видані іншим організаціям.

8. Використання для захисту електронних платежів засобів захисту інформації Національного банку України, контроль за якими був утрачений.

9. Наявність неврахованих копій засобів захисту інформації Національного банку України (програмного модуля генерації ключів, таємних ключів тощо).

10. Наявність копій таємних ключів операціоністів, невчасне вилучення з таблиці відкритих ключів АРМ-СЕП/АРМ-НБУ-інф відкритих ключів операціоністів, які припинили оброблення електронних платіжних документів.

11. Зберігання на жорсткому диску комп'ютера АРМ-СЕП/АРМ-НБУ-інф програм, які не використовуються під час оброблення електронних банківських документів.

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

 

ЗАТВЕРДЖЕНО
Керівник (заступник керівника) організації
________________________________
                  (підпис, ініціали, прізвище)
"___" ____________ 20__ р.

 

М. П.

АКТ
про повернення до регіонального представництва Національного банку, знищення, передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку

м. ____________

"___" ____________ 20__ р.

У зв'язку з припиненням роботи _________________________________________________________
                                                                                                                            (найменування організації)
з "___" ____________ 20__ р. у СЕП / інформаційних задачах Національного банку України і дії договору про використання засобів захисту інформації в системі електронних платежів Національного банку України / договору про використання засобів захисту інформації Національного банку України в інформаційних задачах від "___" ____________ 20__ р. N ___

або:

У зв'язку зі зміною моделі роботи ________________________________________________________
                                                                                                                              (найменування організації)
у СЕП з "___" ____________ 20__ р. і припиненням договору про використання засобів захисту інформації в системі електронних платежів Національного банку України / договору про використання засобів захисту інформації Національного банку України в інформаційних задачах від "___" ____________ 20__ р. N _________ нами вжито таких заходів:

1. До регіонального представництва Національного банку України повернено:

апаратуру криптографічного захисту інформації N ________ у комплекті;

смарт-картки N _________;

програмний модуль генерації ключів (версія _____________, дата виготовлення _______________).

2. Знищені на місці:

копія програмного модуля генерації ключів (версія ___________, дата виготовлення ____________);

таємний ключ АРМ-СЕП s_*300.*;

копія таємного ключа АРМ-СЕП s_*300.*;

таємні ключі АРМ бухгалтера

s_*.* (перелік усіх ключів) - усього ___ ключів;

копії таємних ключів АРМ бухгалтера

s_*.* (перелік усіх ключів) - усього ___ ключів;

таємні ключі операціоністів - усього ___ ключів;

програмний комплекс АРМ-СЕП;

таємний ключ АРМ-НБУ s_*500.*;

копія таємного ключа АРМ-НБУ s_*500.*;

програмний комплекс АРМ-НБУ;

відкриті ключі АРМ-СЕП/АРМ-НБУ-інф, АРМ бухгалтера САБ, таблиці відкритих ключів АРМ-СЕП/АРМ-НБУ-інф, АРМ бухгалтера та інших робочих місць САБ, файли сертифікатів відкритих ключів для роботи в СЕП.

3. Передані в архів ____________________________________________________________________:
                                                                                                                   (найменування організації)
справи і журнали обліку адміністратора захисту інформації;

журнали обліку АРМ-СЕП;

електронні архіви електронних платежів і відкритих ключів операціоністів.

4. Копій знищених і переданих документів, програм, засобів захисту інформації Національного банку України немає.

Адміністратор інформаційної безпеки

___________________________
(підпис, ініціали, прізвище)

ПОГОДЖЕНО:

 

Представник регіонального представництва Національного банку України
  

___________________________
(підпис, ініціали, прізвище)

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

Правила
організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України

I. Загальні положення

1. Ці Правила розроблені відповідно до статті 7 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність", Законів України "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України (далі - Національний банк).

2. У тексті Правил терміни та скорочення вживаються в такому значенні:

Адміністратор інформаційної безпеки - фахівець з питань інформаційної безпеки, призначений наказом по організації для забезпечення впровадження та підтримки роботи засобів захисту Національного банку в цій організації;

АКЗІ - апаратура криптографічного захисту інформації;

АРМ - автоматизоване робоче місце;

АРМ бухгалтера САБ - автоматизоване робоче місце САБ, на якому здійснюється формування файлів / онлайнових пакетів, які містять початкові платежі СЕП;

АРМ-НБУ-інф - автоматизоване робоче місце АРМ-НБУ-інформаційний з програмними засобами захисту інформації, яке призначене для роботи в інформаційних задачах Національного банку;

ВК - відкритий ключ;

ГМД - гнучкий магнітний диск;

ЕЦП - електронний цифровий підпис;

електронна пошта НБУ - електронна пошта Національного банку;

засоби захисту - засоби захисту інформації, які є власністю Національного банку і використовуються в СЕП та інформаційних задачах;

захист інформації - захист електронної банківської інформації, захист електронних банківських документів;

захищений носій ТК - носій таємного ключа, обладнаний вбудованими апаратними засобами криптозахисту (Touch Memory, токени тощо);

інформаційні задачі - програмно-технічні комплекси автоматизації банківської діяльності, які забезпечують оброблення та передавання інформації, що не належить до платіжної та технологічної інформації системи електронних платежів, з використанням засобів захисту інформації Національного банку між банками України, їх філіями, Національним банком, органами державної влади і небанківськими організаціями;

незахищений носій ТК - носій таємного ключа, необладнаний вбудованими засобами криптозахисту (ГМД, флеш-носії тощо);

носій ТК - носій таємного ключа (захищений або незахищений);

організація - банки України та їх філії, державні установи, небанківські установи, які є безпосередніми учасниками СЕП та/або інформаційних задач і використовують засоби захисту;

ПМГК - програмний модуль генерації ключів;

регіональне представництво Національного банку - структурний підрозділ Департаменту інформаційної безпеки Національного банку (далі - Департамент інформаційної безпеки), працівники якого мають робочі місця в територіальних управліннях Національного банку.

САБ - система автоматизації банку;

система захисту інформації Національного банку (далі - система захисту) - сукупність методів і засобів, що включає апаратно-програмні, програмні засоби захисту, ключову інформацію та систему розподілу ключової інформації, технологічні засоби контролю та організаційні заходи;

СЕП - система електронних платежів Національного банку;

СК - смарт-картка;

ТВК - таблиця відкритих ключів;

ТК - таємний ключ;

Інші терміни та скорочення, що вживаються в цих Правилах, використовуються в значеннях, визначених Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року N 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за N 1035/12909 (із змінами), Законом України "Про електронні документи та електронний документообіг", стандартами Національного банку України з управління інформаційною безпекою.

3. Правила регламентують порядок використання, зберігання, передавання та облік засобів захисту організаціями, які отримали ці засоби захисту відповідно до Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України (далі - Положення).

II. Призначення відповідальних осіб за роботу із засобами захисту

4. Керівництво організації зобов'язане затвердити наказом призначення відповідальних осіб для роботи із засобами захисту, а саме:

адміністратора інформаційної безпеки (мінімум 2 особи);

адміністратора АРМ-СЕП/АРМ-НБУ-інф (мінімум 2 особи);

оператора АРМ бухгалтера САБ (мінімум 2 особи);

технолога САБ;

операціоніста;

операторів робочих і технологічних місць САБ та інформаційних задач.

5. Організація зобов'язана подавати до регіонального представництва Національного банку копію наказу або виписку з наказу:

а) про призначення відповідальних за роботу із засобами захисту осіб протягом трьох робочих днів з часу їх призначення;

б) про покладання обов'язків або звільнення від виконання відповідних обов'язків в організації, зокрема покладання інших обов'язків, адміністраторів інформаційної безпеки, адміністраторів АРМ-СЕП/АРМ-НБУ-інф і АРМ бухгалтера САБ протягом трьох робочих днів з часу їх призначення/звільнення.

6. Адміністратор інформаційної безпеки зобов'язаний ознайомитися з нормативно-правовими актами Національного банку з питань інформаційної безпеки та підписати зобов'язання адміністратора інформаційної безпеки (додаток 1).

Регіональне представництво Національного банку зобов'язаний зробити відмітку про проведення перевірки знання відповідних нормативно-правових актів Національного банку та обов'язків адміністратора інформаційної безпеки і зберігати копію цього зобов'язання.

7. Адміністратор інформаційної безпеки має право надати дозвіл на роботу на АРМ-СЕП/АРМ-НБУ-інф, робочих і технологічних місцях САБ та інформаційних задач відповідальним за роботу із засобами захисту особам після їх ознайомлення з нормативно-правовими актами Національного банку, іншими документами з питань інформаційної безпеки.

Адміністратор інформаційної безпеки зобов'язаний ознайомити відповідальних осіб з правилами роботи та зберігання ТК.

Відповідальна особа зобов'язана підписати відповідне зобов'язання (додаток 2).

8. Департамент інформаційної безпеки має право звернутися до керівника організації з пропозицією призначити нового адміністратора інформаційної безпеки в разі неналежного виконання ним своїх обов'язків або розпочати процедуру вилучення наданих організації засобів захисту.

9. Організація зобов'язана забезпечити відповідальних за роботу із засобами захисту осіб особистими печатками (штампами, пломбіраторами тощо) для опечатування засобів захисту, сейфів (для зберігання незахищених носіїв ТК) і приміщення з АРМ-СЕП/АРМ-НБУ-інф.

Адміністратор інформаційної безпеки зобов'язаний зареєструвати печатки (штампи, пломбіратори) у журналі обліку адміністратора інформаційної безпеки (розділ 6 додатка 3).

Відповідальні особи не мають права передавати між собою печатки (штампи, пломбіратори) для тимчасового користування.

10. Організація забезпечує підбір відповідальних для роботи із засобами захисту осіб згідно з таблицею суміщення функціональних обов'язків (додаток 4).

III. Функціональні обов'язки відповідальних осіб

11. Адміністратор інформаційної безпеки зобов'язаний:

знати нормативно-правові акти Національного банку з питань організації захисту інформації та з питань інформаційної безпеки і застосовувати їх у роботі;

виконувати вимоги щодо інформаційної безпеки в організації та підписати зобов'язання адміністратора інформаційної безпеки;

забезпечувати конфіденційність системи захисту в організації;

отримувати засоби захисту і проводити їх заміну в регіональному представництві Національного банку;

здійснювати тестування ПМГК та брати участь у тестуванні інших засобів захисту;

вести листування з регіональним представництвом Національного банку з питань інформаційної безпеки;

ознайомлювати відповідальних осіб організації з нормативно-правовими актами Національного банку з питань захисту інформації та перевіряти знання правил використання і зберігання ТК й інших засобів захисту;

забезпечувати відповідальних осіб засобами захисту;

вести облік засобів захисту і здійснювати контроль за їх прийманням-передаванням;

вести справи адміністратора захисту інформації і забезпечувати їх збереження;

забезпечувати генерацію ключів відповідальними особами;

забезпечувати належне зберігання засобів захисту;

забезпечувати відправлення на сертифікацію ВК, що потребують сертифікації;

вести архів ВК операціоністів;

здійснювати знищення копій ПМГК у встановленому порядку;

здійснювати контроль за дотриманням відповідальними особами правил інформаційної безпеки під час роботи із засобами захисту та їх зберігання;

здійснювати контроль за своєчасною заміною ТК відповідальними особами;

здійснювати контроль за змінами ТВК;

здійснювати контроль за правильним і своєчасним знищенням відповідальними особами ТК та їх копій;

здійснювати перевірки відповідності приміщень з АРМ-СЕП/АРМ-НБУ-інф і сейфів, у яких зберігаються засоби захисту, вимогам інформаційної безпеки;

здійснювати контроль за веденням журналів адміністратора АРМ-СЕП/АРМ-НБУ-інф;

знати експлуатаційну документацію до АРМ-СЕП/АРМ-НБУ-інф (у частині роботи системи захисту інформації);

виконувати налаштування операційної системи комп'ютера з АРМ-СЕП/АРМ-НБУ-інф відповідно до вимог та рекомендацій Національного банку щодо усунення вразливостей операційної системи;

не рідше одного разу на квартал проводити планові перевірки використання засобів захисту відповідальними особами організації.

під час перевірки звертати увагу на наявність засобів захисту, ключів від сейфів, у яких зберігаються засоби захисту, облікових даних, дотримання вимог інформаційної безпеки під час зберігання та використання засобів захисту, обмеження доступу до приміщення з АРМ-СЕП/АРМ-НБУ-інф, знання відповідальними особами нормативно-правових актів Національного банку з питань інформаційної безпеки, правильне і своєчасне заповнення журналів обліку;

по закінченню перевірки зробити відповідні записи в журналі обліку адміністратора інформаційної безпеки (розділ 9 додатка 3);

інформувати керівника організації і регіональне представництво Національного банку про виявлені недоліки, що можуть загрожувати безпеці електронної банківської інформації;

брати участь (за письмовим або усним розпорядженням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

12. Адміністратор АРМ-СЕП/АРМ-НБУ-інф організації зобов'язаний:

знати (у частині, що стосується його повноважень) нормативно-правові акти Національного банку з питань організації захисту інформації і застосовувати їх у роботі;

забезпечувати конфіденційність системи захисту в організації;

знати експлуатаційну документацію до АРМ-СЕП/АРМ-НБУ-інф і вимоги та рекомендації Національного банку щодо усунення вразливостей операційної системи комп'ютера з АРМ-СЕП/АРМ-НБУ-інф;

встановлювати АКЗІ та драйвери до нього і забезпечувати постійне її підключення до комп'ютера на якому розташований програмно-апаратний комплекс АРМ-СЕП;

забезпечувати технологічну дисципліну в роботі з програмно-апаратним комплексом АРМ-СЕП/АРМ-НБУ-інф;

здійснювати генерацію ключів АРМ-СЕП/АРМ-НБУ-інф; та контроль за строком їх дії;

зберігати ТК АРМ-СЕП/АРМ-НБУ-інф (за необхідності - їх копій), АКЗІ та СК для АРМ-СЕП;

зберігати засоби захисту під час їх перебування в адміністратора АРМ-СЕП/АРМ-НБУ-інф;

уносити необхідні зміни до ТВК АРМ-СЕП/АРМ-НБУ-інф;

знищувати в установленому порядку ТК АРМ-СЕП/АРМ-НБУ-інф та їх копії;

здійснювати перевірки відповідності приміщення з АРМ-СЕП/АРМ-НБУ-інф і сейфа адміністратора АРМ-СЕП/АРМ-НБУ-інф вимогам інформаційної безпеки;

дотримуватися режиму допуску до приміщення з АРМ-СЕП/АРМ-НБУ-інф;

здавати під охорону і знімати з охорони приміщення з АРМ-СЕП/АРМ-НБУ-інф;

вести журнал адміністратора АРМ-СЕП/АРМ-НБУ-інф (додаток 5);

інформувати адміністратора інформаційної безпеки про виявлення недоліків, що можуть загрожувати безпеці електронних банківських документів;

брати участь (за розпорядженням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

13. Оператори АРМ бухгалтера САБ, операціоністи та оператори інших робочих і технологічних місць САБ та інформаційних задач, які працюють із засобами захисту, зобов'язані:

знати (у частині, що стосується їх повноважень) нормативно-правові акти Національного банку з питань організації захисту інформації і застосовувати їх у роботі;

дотримуватися конфіденційності відомостей про систему захисту в організації;

забезпечувати технологічну дисципліну в роботі з програмним забезпеченням робочого місця;

виконувати правила використання і зберігання засобів захисту;

здійснювати генерацію власних ключів;

здійснювати контроль за строком дії ключів і своєчасною генерацією (з урахуванням часу на сертифікацію) нових ключів;

зберігати (за наявності особистого сейфа) власний ТК (за необхідності - його копію);

передавати в установленому порядку на зберігання (якщо немає особистого сейфа) власний ТК (і його копію) адміністратору інформаційної безпеки;

забезпечувати схоронність засобів захисту під час їх використання;

здійснювати знищення в установленому порядку власних ТК (і їх копій);

вести журнал обліку оператора робочих і технологічних місць САБ у разі передавання ТК робочого місця іншій відповідальній особі;

інформувати адміністратора інформаційної безпеки про виявлення недоліків, що загрожують безпеці електронної банківської інформації;

брати участь (за письмовим або усним розпорядженням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

14. Організація зобов'язана дотримуватися такого порядку допуску відповідальних осіб до засобів захисту:

допуск до ПМГК для роботи з ним мають лише адміністратори інформаційної безпеки;

допуск до роботи з АКЗІ, СК, ТК АРМ-СЕП/АРМ-НБУ-інф мають тільки адміністратори АРМ-СЕП/АРМ-НБУ-інф;

допуск до ТК робочих і технологічних місць САБ та інформаційних задач має відповідальна особа і тільки до власного ТК;

відповідальні особи працюють з ПМГК лише в присутності адміністратора інформаційної безпеки;

адміністратори інформаційної безпеки виконують свої функціональні обов'язки і контрольні функції під час роботи з ТВК на АРМ-СЕП/АРМ-НБУ-інф та інших робочих місцях лише в присутності відповідальних осіб.

IV. Порядок роботи з апаратними засобами захисту

15. Вимоги цього розділу стосуються тільки організацій, які безпосередньо працюють в СЕП.

16. Адміністратор інформаційної безпеки зобов'язаний після отримання АКЗІ та СК зробити відповідний запис у журналі обліку адміністратора інформаційної безпеки (розділ 2 додатка 2).

17. Адміністратор інформаційної безпеки зобов'язаний передати АКЗІ адміністратору АРМ-СЕП, який перебуває на зміні, і зафіксувати це в журналі обліку адміністратора інформаційної безпеки (розділ 2 додатка 3).

Адміністратор АРМ-СЕП зобов'язаний отримати АКЗІ та зробити відповідний запис у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ-інф (додаток 5).

Адміністратор АРМ-СЕП зобов'язаний установити АКЗІ та забезпечити постійне її підключення до комп'ютера, у якому розташований програмно-апаратний комплекс АРМ-СЕП.

18. Адміністратор АРМ-СЕП, який перебуває на зміні, зобов'язаний перед уведенням АКЗІ в роботу забезпечити виконання всіх вимог до технічних умов експлуатації АКЗІ, які наведені в документації до неї.

19. Адміністратор АРМ-СЕП зобов'язаний згенерувати ТК АКЗІ за допомогою програмно-апаратного комплексу АРМ-СЕП для введення АКЗІ в експлуатацію і записати копію ТК АКЗІ АРМ-СЕП на другу (резервну) СК під час генерації ключів.

Адміністратор інформаційної безпеки надсилає ВК АКЗІ на сертифікацію до Національного банку.

Адміністратор АРМ-СЕП уводить АКЗІ в експлуатацію після отримання сертифіката ВК, автоматичного включення його до ТВК АКЗІ та здійснення відповідних налаштувань АРМ-СЕП.

Адміністратор АРМ-СЕП зобов'язаний здійснювати своєчасну генерацію ключа АКЗІ у зв'язку із закінченням строку його дії.

20. Адміністратори АРМ-СЕП зобов'язані передавати АКЗІ і СК між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ-інф (додаток 5), який вони ведуть і зберігають у приміщенні з АРМ-СЕП/АРМ-НБУ-інф. Відключати АКЗІ від комп'ютера під час передачі зміни між адміністраторами не потрібно.

Адміністратор АРМ-СЕП зобов'язаний зберігати СК для АКЗІ у сейфі в неробочий час і в робочий час, якщо вони не використовуються в роботі.

21. Адміністратор АРМ-СЕП зобов'язаний здійснити заміну АКЗІ разом із СК у разі її виходу з ладу або на вимогу Департаменту інформаційної безпеки.

У разі виходу з ладу АКЗІ або усіх СК в процесі експлуатації, пошкодженні голографічної наклейки на АКЗІ, втрати АКЗІ або СК або на вимогу Департаменту інформаційної безпеки адміністратор АРМ-СЕП організації зобов'язаний:

а) повідомити ЦРП про перехід на резервні програмні засоби захисту засобами електронної пошти;

б) забезпечити переведення АРМ-СЕП на роботу з програмними засобами захисту за допомогою відповідного настроювання АРМ-СЕП за погодженням з ЦРП;

в) забезпечити продовження роботи АРМ-СЕП у звичайному режимі з використанням програмних засобів захисту;

г) повідомити адміністратора інформаційної безпеки організації про причину виходу з ладу АКЗІ та/або СК і узгодити заходи для ремонту або заміни АКЗІ та/або СК;

д) узгодити з ЦРП дату переведення на апаратне шифрування після відновлення працездатності АКЗІ. Перехід на апаратні засоби захисту повинен здійснюватися лише на початку банківського дня за погодженням з ЦРП;

е) узгодити подальші дії з ЦРП у разі виникнення збоїв у роботі АКЗІ під час відкривання банківського дня (на стадії переходу на роботу з використанням АКЗІ).

22. Адміністратор інформаційної безпеки організації у випадках, передбачених пунктом 21, зобов'язаний:

а) забезпечити доставку засобів захисту (за виключенням втрачених) до регіонального представництва Національного банку за тим же порядком, за яким ці засоби захисту були отримані згідно з пунктом 22 Положення.

б) зробити відмітку про повернення АКЗІ та/або СК, що виведені з експлуатації, у журналі обліку адміністратора інформаційної безпеки (розділ 2 додатка 3);

в) провести відповідне службове розслідування в разі пошкодження АКЗІ / СК / голографічної наклейки, втрати АКЗІ або СК, копію матеріалів якого подати до регіонального представництва Національного банку;

г) отримати засоби захисту на заміну та зробити відповідний запис у журналі обліку адміністратора інформаційної безпеки (розділ 2 додатка 3);

ґ) видати адміністратору АРМ-СЕП отримані засоби захисту за порядком відповідно до пунктів 17 - 19.

23. Адміністратор АРМ-СЕП зобов'язаний перейти на роботу з резервною СК у разі виходу з ладу СК. Адміністратор інформаційної безпеки, зобов'язаний звернутися до регіонального представництва Національного банку для заміни СК, що вийшла з ладу, за тим же порядком, за яким ця СК була отримана відповідно до розділу III Положення.

V. Порядок зберігання та роботи з програмними засобами захисту

24. Адміністратор інформаційної безпеки після отримання ПМГК зобов'язаний:

а) зробити відповідний запис у журналі обліку адміністратора інформаційної безпеки (розділ 2 додатка 2).

б) зняти копію ПМГК за допомогою засобів, які є на ПМГК;

в) зареєструвати ПМГК та його копію в журналі обліку адміністратора інформаційної безпеки (розділи 2, 7 додатка 3);

г) здійснити перевірку ПМГК шляхом пробної генерації ключів;

ґ) забезпечити генерацію ключів для всіх робочих місць в організації, у якій використовуються засоби захисту (діючі ТК мають право використовуватися до закінчення строку їх дії).

25. Адміністратор захисту інформації в разі негативних результатів перевірки ПМГК зобов'язаний:

а) повідомити про це регіональне представництво Національного банку електронною поштою протягом одного робочого дня і діяти відповідно до його рекомендацій;

б) повернути до регіонального представництва Національного банку ПМГК разом із супровідним листом. У листі повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення ПМГК.

в) зареєструвати ПМГК, що не пройшов перевірку, у журналі обліку адміністратора інформаційної безпеки (додаток 3) з відповідним записом про його повернення до регіонального представництва Національного банку;

г) знищити копію ПМГК, що не пройшов перевірку.

26. Адміністратори інформаційної безпеки зобов'язані передавати ПМГК і його копію між собою з фіксуванням у журналі обліку адміністратора інформаційної безпеки (розділ 7 додатка 3).

27. Адміністратор інформаційної безпеки зобов'язаний зберігати ПМГК і його копію в неробочий час і в робочий час, якщо він не використовується в роботі, у сейфі. Адміністратор інформаційної безпеки зобов'язаний замкнути й опечатати сейф відбитком особистої печатки.

28. Організація зобов'язана повернути ПМГК до регіонального представництва Національного банку разом із супровідним листом після завершення строку використання (Національний банк встановлює дату). У цьому листі повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення.

Організація зобов'язана знищити копію ПМГК (якщо немає інших вимог Національного банку) на місці методом, який унеможливлює її відновлення, і скласти акт про знищення засобів захисту інформації Національного банку України (додаток 6). Регіонального представництва Національного банку зберігає один примірник цього акта або оригінал, організація - другий або копію.

Адміністратор інформаційної безпеки зобов'язаний зробити відповідний запис про повернення ПМГК до регіонального представництва Національного банку та знищення його копії в організації із зазначенням номерів і дат супровідного листа та акта про знищення копії у журналі обліку адміністратора інформаційної безпеки (розділ 2 додатка 3).

29. Адміністратор інформаційної безпеки в разі псування носія з ПМГК до завершення строку його використання зобов'язаний:

а) відновити ПМГК з резервної копії;

б) унести відповідну інформацію до журналу обліку адміністратора інформаційної безпеки (розділ 2 додатка 3);

в) повідомити регіональне представництво Національного банку засобами електронної пошти про заміну копії ПМГК і нові номери сеансів генерації ключів, які надаватимуться цією копією ПМГК під час наступних сеансів генерації ключів.

30. Адміністратор інформаційної безпеки в разі втрати ПМГК (та/або його копії) або втрати контролю за місцезнаходженням ПМГК та/або його копії зобов'язаний:

а) проінформувати про це регіональне представництво Національного банку засобами електронної пошти і замовити новий ПМГК (додаток 7);

б) не проводити генерації ключів до отримання нового ПМГК;

в) провести службове розслідування, копію матеріалів якого подати до регіонального представництва Національного банку;

г) отримати новий ПМГК відповідно до встановленого порядку і надалі вживати заходів, що передбачені в пунктах 21 - 27.

31. Організація зобов'язана здійснити заміну ПМГК відповідно до пункту 28 без службового розслідування, не припиняючи роботу в СЕП та/або в інформаційних задачах, якщо один з адміністраторів інформаційної безпеки звільняється від обов'язків адміністратора інформаційної безпеки.

32. Відповідальна особа, яка працюватиме з ключем, зобов'язана генерувати кожен ключ за допомогою ПМГК на робочому місці, яке відповідає вимогам пункту 75, у присутності адміністратора інформаційної безпеки.

Адміністратор інформаційної безпеки зобов'язаний реєструвати всі спроби генерації ключів, у тому числі й невдалі, у журналі обліку адміністратора інформаційної безпеки (розділ 3 додатка 3).

33. Відповідальна особа має право під час генерації записати ТК на носій ТК за погодженням Департаменту інформаційної безпеки.

Департамент інформаційної безпеки надає відповідні бібліотеки криптографічного захисту підтримки носіїв ТК, рекомендації щодо налаштування доступу до ТК програмної частини системи захисту та утиліту для перенесення ТК з ГМД на захищений носій ТК. Перенесення ТК за допомогою утиліти необхідно реєструвати як операцію створення копії ТК у відповідності до пункту 32. ТК на ГМД після перенесення необхідно знищувати відповідно до пункту 45 або зберігати як копію.

Перенесення ТК з ГМД на апаратний носій необхідно виконувати на окремому немережевому комп'ютері у присутності адміністратора інформаційної безпеки.

Якщо дозволяє технологія роботи конкретного АРМ, то рекомендується кожній конкретній відповідальній особі надавати унікальний ідентифікатор ТК.

ВК після їх генерації (ключі операціоністів сертифікації не потребують) підлягають сертифікації в Національному банку.

34. Відповідальна особа має право створити копії ТК (за винятком ТК операціоністів САБ) для запобігання зупиненню роботи організації в СЕП та/або в інформаційних задачах у разі псування носія ТК за умови наявності розпорядчого документа організації про створення копій ТК з обов'язковим визначенням відповідальних за їх зберігання осіб і з фіксуванням цього в журналі обліку адміністратора інформаційної безпеки (розділ 3 додатка 3).

35. Відповідальна особа, яка проводить генерацію ключа і надалі працює з ним, зобов'язана встановити індивідуальний пароль для ТК (за необхідності - його копії) і не має розголошувати пароль жодній особі.

36. На створені копії ПМГК і ТК поширюються всі вимоги щодо інформаційної безпеки, як і на основні засоби захисту інформації.

37. Заборонено використання копій (оригіналу) ПМГК, ТК у разі:

втрати відповідного оригіналу (копії) ПМГК, ТК;

виявлення факту зберігання або перебування оригіналу (копії) ТК, ПМГК у сторонніх осіб;

втрати контролю за місцезнаходженням оригіналу (копії) ТК, ПМГК.

38. У разі використання захищених носіїв ТК (Touch Memory, токени тощо) зберігання таких носіїв у сейфі в неробочий час є необов'язковим.

Організація має право використовувати захищені носії ТК для розв'язання інших завдань організації (обмеження доступу до комп'ютерів, приміщень тощо).

39. Відповідальні особи зобов'язані суворо дотримуватися правил використання та зберігання ТК для унеможливлення їх несанкціонованого копіювання в разі використання незахищених носіїв ТК.

40. У разі використання на робочих місцях САБ та/або інформаційних задач, що функціонують в операційному середовищі UNIX із засобами захисту, заборонено використовувати незахищені носії ТК.

У такому разі, після генерації ТК відповідальна особа, адміністратор інформації інформаційної безпеки або адміністратор САБ забезпечують копіювання цього файлу з ТК у захищену директорію, яка доступна для читання тільки з робочого місця саме цієї відповідальної особи, з відповідним записом у журналі обліку адміністратора захисту інформації та обов'язковим підписом особи, яка копіювала ТК у захищену директорію.

Відповідальна особа зберігає носій ТК у власному сейфі або сейфі адміністратора захисту інформації в запечатаному конверті з підписом відповідальної особи до закінчення строку його дії.

Відповідальна особа зобов'язана знищити ТК після закінчення строку його дії.

41. У разі використання незахищеного носія ТК, відповідальна особа зобов'язана зберігати ТК (і за необхідності їх копії) у неробочий час у власному сейфі, який має бути замкнутим і опечатаним відбитком її особистої печатки.

42. Адміністратор інформаційної безпеки має право забезпечити зберігання ТК відповідальних осіб у неробочий час у власному сейфі, якщо немає достатньої кількості особистих сейфів.

Адміністратор інформаційної безпеки зобов'язаний зберігати кожний ТК в окремій упаковці, опечатаній особистою печаткою відповідальної особи, або в окремому запечатаному конверті з особистим підписом відповідальної особи.

Адміністратор інформаційної безпеки зобов'язаний видавати ТК відповідальним особам для роботи і приймати їх на зберігання з реєстрацією в журналі обліку адміністратора інформаційної безпеки (розділ 8 додатка 3).

43. Адміністратори АРМ-СЕП/АРМ-НБУ-інф зобов'язані передавати ТК АРМ-СЕП/АРМ-НБУ-інф (і за необхідності їх копії) між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ-інф (додаток 5).

Запис у журналі не робиться в разі наявності в адміністраторів АРМ-СЕП/АРМ-НБУ-інф відповідних копій ТК.

44. ТК мають обмежений строк дії, що встановлюється під час сертифікації ВК. Для ключів операціоністів, які не підлягають сертифікації, строк дії ключа становить 100 днів.

Відповідальна особа зобов'язана здійснювати своєчасну генерацію ТК у зв'язку із закінченням строку його дії.

45. Адміністратор інформаційної безпеки організації зобов'язаний вести архів ВК операціоністів для забезпечення можливості перевірки ЕЦП операціоністів протягом усього строку зберігання архівів електронних банківських документів.

Строк зберігання архівів ВК операціоністів відповідає строку зберігання електронних банківських документів.

46. Адміністратор інформаційної безпеки зобов'язаний здійснювати контроль за строком дії ключів, забезпечувати своєчасну їх генерацію відповідальними особами і сертифікацію ВК з метою уникнення невиправданої зупинки роботи організації.

47. Відповідальна особа організації зобов'язана знищувати ТК (та їх копії) після закінчення строку дії з відповідним записом у журналі обліку адміністратора захисту інформації (розділ 3 додатка 3).

ТК не вносяться до архіву електронних банківських документів.

48. Відповідальна особа організації в разі псування носія ТК до завершення строку його дії зобов'язана:

а) зняти ще одну копію ТК (у разі її наявності) або здійснити нову генерацію цього ключа;

б) унести відповідні записи до журналу обліку адміністратора захисту інформації (розділ 3 додатка 3).

49. Відповідальна особа в разі компрометації ТК зобов'язана:

а) припинити використання цього ТК;

б) повідомити електронною поштою НБУ регіональне представництво Національного банку, якщо це був ТК АРМ-СЕП або АРМ бухгалтера САБ;

в) забезпечити вилучення відповідного ВК з ТВК (за допомогою ПМГК) у встановленому порядку;

г) забезпечити генерацію нового ТК і надалі вживати заходів щодо його введення в дію.

50. Організація зобов'язана в разі втрати контролю за ТК провести службове розслідування, копії матеріалів якого подати до регіонального представництва Національного банку.

51. Адміністратор захисту інформації зобов'язаний забезпечити вилучення з роботи відповідних ВК у встановленому порядку, якщо відповідальна особа, яка має ТК для будь-якого робочого місця, звільняється інші від виконання відповідних функціональних обов'язків.

52. Організація зобов'язана затвердити внутрішній порядок зберігання ТК залежно від конкретних умов її функціонування, забезпечивши дотримання вимог цих Правил.

VI. Порядок використання і зберігання засобів захисту в разі виникнення надзвичайних ситуацій

53. Організація зобов'язана вжити заходів для усунення загрози втрати засобів захисту, електронних архівів, комп'ютерної техніки тощо в разі виникнення надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо). Дії працівників організації, які використовують засоби захисту, регламентуються відповідним документом, що складений у довільній формі, підписаний керівником організації і зберігається у справі N 1 адміністратора захисту інформації. Особи, які працюють із засобами захисту, повинні зберігати виписку з цього документа на своїх робочих місцях.

54. Організація має право забезпечити роботу протягом одного робочого дня в приміщенні іншої організації за попереднім узгодженням з регіональним представництвом Національного банку і дотриманням правил використання і зберігання засобів захисту в разі виникнення аварійної ситуації (відключення електроживлення, пошкодження ліній зв'язку тощо). Організація в такому випадку зобов'язана видати розпорядчий документ про це, копія якого надсилається до регіонального представництва Національного банку.

55. Організація має право визначити тимчасовий порядок використання та зберігання засобів захисту за попереднім погодженням з регіональним представництвом Національного банку за необхідності (ремонтні роботи, переведення АРМ-СЕП/АРМ-НБУ в інше приміщення тощо). Організація в такому випадку зобов'язана видати розпорядчий документ про це, копія якого надсилається до регіонального представництва Національного банку.

VII. Організація діловодства з питань інформаційної безпеки

56. Діловодство з питань інформаційної безпеки в організації ведуть:

адміністратор інформаційної безпеки;

адміністратор АРМ-СЕП/АРМ-НБУ-інф.

57. Адміністратор інформаційної безпеки зобов'язаний вести:

справу адміністратора інформаційної безпеки;

журнал обліку адміністратора інформаційної безпеки (додаток 3).

58. Адміністратор інформаційної безпеки зобов'язаний зберігати у справі адміністратора інформаційної безпеки такі документи:

нормативно-правові акти та рекомендації Національного банку з питань інформаційної безпеки;

останню довідку про перевірку Департаментом інформаційної безпеки організації захисту інформації;

зобов'язання відповідальних за роботу із засобами захисту осіб (додатки 1, 2);

акти про приймання-передавання апаратних засобів захисту (додаток 3 до Положення) та/або супровідні листи до засобів захисту інформації, які були повернуті до регіонального представництва Національного банку, і до засобів захисту, які перебувають у використанні;

акт про знищення засобів захисту інформації Національного банку України (додаток 5);

листи про надання засобів захисту інформації (додаток 6);

акт про повернення до регіонального представництва Національного банку, знищення і передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку (додаток 4 до Положення);

довідку з підписом керівника організації про дії відповідальних за роботу із засобами захисту осіб у разі виникнення надзвичайних ситуацій;

інші документи з питань захисту інформації.

59. До справи адміністратора інформаційної безпеки не включаються документи, що не стосуються інформаційної безпеки.

60. Листи Департаменту інформаційної безпеки (або їх копії), а також Центральної розрахункової палати з питань експлуатації СЕП у частині, що стосується захисту інформації в СЕП, які надходять електронною поштою, повинні або включатися до справи адміністратора інформаційної безпеки або реєструватися, зберігатися і знищуватися відповідно до правил діловодства організації.

61. Адміністратор АРМ-СЕП/АРМ-НБУ-інф зобов'язаний вести журнал обліку адміністратора АРМ-СЕП/АРМ-НБУ-інф (додаток 5), у якому реєструється приймання-передавання засобів захисту на АРМ-СЕП/АРМ-НБУ-інф.

VIII. Вимоги до приміщень

62. Організація, яка використовує АРМ-СЕП/АРМ-НБУ-інф, зобов'язана розмістити їх у одному або окремих приміщеннях (крім приміщення адміністратора інформаційної безпеки) з обмеженим доступом, двері яких повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або системою контролю доступу, яка забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному електронному журналі.

Дозволяється розміщувати АРМ-СЕП та АРМ-НБУ-інф на одному комп'ютері.

63. Дозволяється розміщувати комп'ютер з АРМ-СЕП/АРМ-НБУ-інф в серверному приміщенні, якщо цей програмно-апаратний комплекс працює в автоматичному режимі. У цьому разі адміністратор АРМ-СЕП зобов'язаний реагувати на інформаційні повідомлення, які надсилаються на АРМ-СЕП.

64. Організація зобов'язана оснастити вікно (вікна) у приміщенні АРМ-СЕП ґратами, якщо воно:

внутрішнє і виходить в інше приміщення або коридор організації;

зовнішнє і розташовується на першому чи останньому поверсі організації;

зовнішнє і розташовується на інших поверхах організації, до яких є доступ з прилеглих об'єктів.

65. Організація зобов'язана обладнати приміщення з АРМ-СЕП/АРМ-НБУ-інф системою охоронної сигналізації з двома рубежами захисту:

перший - датчики контролю периметру;

другий - датчики контролю за переміщенням об'єктів у приміщенні.

66. Організація зобов'язана встановити в приміщенні з АРМ-СЕП/АРМ-НБУ сейфи (металеві шафи), призначені для зберігання в неробочий час засобів захисту і документів до них.

67. Адміністратор інформаційної безпеки зобов'язаний обліковувати ключі від сейфів (металевих шаф) і печатки для їх опечатування в журналі обліку адміністратора захисту інформації (розділи 5 і 6 додатка 3).

68. Черговий адміністратор АРМ-СЕП/АРМ-НБУ-інф, зобов'язаний:

зберігати ключі від вхідних дверей приміщення з АРМ-СЕП/АРМ-НБУ-інф і сейфів (металевих шаф) у робочий час;

замикати або блокувати системою доступ до приміщення з АРМ-СЕП/АРМ-НБУ-інф у разі своєї відсутності.

69. Адміністратор АРМ-СЕП/АРМ-НБУ-інф має право зберігати ключі від сейфів (металевих шаф) адміністратора АРМ-СЕП/АРМ-НБУ-інф в опечатаному вигляді в тому ж приміщенні.

70. Організація зобов'язана призначати працівників, які мають допуск до приміщення з АРМ-СЕП/АРМ-НБУ-інф, розпорядчим документом, у якому повинні зазначатися всі відповідальні особи і засоби захисту, які вони використовують.

Адміністратор інформаційної безпеки обліковує призначених осіб у журналі обліку адміністратора захисту інформації (розділ 4 додатка 3).

71. Право допуску до приміщення з АРМ-СЕП/АРМ-НБУ мають:

керівник організації (або особа, яка виконує його обов'язки);

заступник керівника організації, який призначений відповідальним за організацію інформаційної безпеки;

адміністратори АРМ-СЕП/АРМ-НБУ-інф;

адміністратори інформаційної безпеки;

інші працівники організації, які обслуговують приміщення й АРМ-СЕП/АРМ-НБУ-інф.

72. Працівники служби інформаційної безпеки організації (якщо вони не призначені наказом організації як відповідальні особи за роботу із засобами захисту) мають право доступу до приміщення з АРМ-СЕП/АРМ-НБУ-інф лише для вирішення питань, що належать до їх компетенції.

73. Працівники організації, які мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ-інф, зобов'язані перебувати в приміщенні з АРМ-СЕП/АРМ-НБУ-інф лише в присутності чергового адміністратора АРМ-СЕП/АРМ-НБУ-інф та на час виконання своїх обов'язків, що пов'язані з роботою АРМ-СЕП/АРМ-НБУ.

Працівники організації мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ-інф на підставі усного розпорядження керівника організації (або особи, яка виконує його обов'язки) лише в присутності чергового адміністратора АРМ-СЕП/АРМ-НБУ-інф для вирішення окремих питань.

74. Перед отриманням засобів захисту Департамент інформаційної безпеки за заявою організації проводить перевірку виконання вимог до приміщень.

75. В разі зміни свого місцезнаходження, організація зобов'язана повідомляти регіональне представництво Національного банку, який надав засоби захисту, про місця розташування АРМ-СЕП/АРМ-НБУ-інф протягом трьох робочих днів з часу настання цих змін.

Департамент інформаційної безпеки зобов'язаний організувати перевірку виконання вимог до приміщень протягом п'яти робочих днів з дня надходження цього повідомлення зі складанням відповідної довідки.

76. Організація зобов'язана розмістити робоче місце адміністратора інформаційної безпеки в окремому приміщенні з обмеженим доступом та обладнати його сейфом для зберігання засобів захисту, справ і журналу обліку адміністратора захисту інформації тощо. Це приміщення повинно обладнуватися системою охоронної сигналізації з одним рубежем захисту та в неробочий час опечатуватися.

77. Робоче місце адміністратора інформаційної безпеки повинно бути обладнане комп'ютером, який не підключений до локальної мережі організації, для копіювання носіїв ТК і генерування ключів відповідальними особами.

78. ЗАБОРОНЯЄТЬСЯ розміщувати АРМ-СЕП, АРМ бухгалтера САБ та робоче місце адміністратора захисту інформації в одному приміщенні (в будь-яких комбінаціях).

79. Організація зобов'язана розмістити робочі місця САБ, на яких використовуються засоби захисту, у приміщеннях з обмеженим доступом, та, в разі використання незахищених носіїв ТК, обладнати робочі місця окремими або багатосекційними сейфами або багатосекційними металевими шафами з засобами опечатування для зберігання ТК.

Сейф з кодовим замком також має обладнуватися місцем для опечатування, що дасть змогу виявляти спроби його несанкціонованого відкривання.

80. Організація зобов'язана забезпечити надійне кріплення сейфа для зберігання засобів захисту, який має вагу менше ніж 100 кг і хоча б один з габаритів якого менший, ніж 500 мм, до підлоги, стіни тощо.

81. Адміністратор інформаційної безпеки зобов'язаний обліковувати ключі від сейфів (металевих шаф), у яких зберігаються засоби захисту, у журналі обліку адміністратора інформаційної безпеки (розділ 5 додатка 3).

82. Організація зобов'язана здійснити заміну відповідного замка або сейфа і провести службове розслідування в разі втрати ключів від сейфів (металевих шаф), у яких зберігаються засоби захисту.

Адміністратор захисту інформації зобов'язаний зберігати матеріали розслідування у справах адміністратора захисту інформації.

83. Керівник організації відповідає за виконання вимог до приміщень.

IX. Порядок інформування регіонального представництва Національного банку

84. Організація зобов'язана протягом одного робочого дня телефоном та протягом трьох робочих днів в листі інформувати регіональне представництво Національного банку в таких випадках:

а) виконання (спроби виконання) фіктивного платіжного документа;

б) компрометація засобів захисту;

в) пошкодження засобів захисту;

г) несанкціоноване проникнення в приміщення з АРМ-СЕП/АРМ-НБУ-інф (пошкодження вхідних дверей, ґрат на вікнах, спрацювання сигналізації за нез'ясованих обставин тощо);

ґ) проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, унаслідок якої створюються умови для компрометації засобів захисту;

д) виникнення інших аварійних або надзвичайних ситуацій, що створюють передумови до розкрадання, втрати, пошкодження тощо засобів захисту.

85. Організація зобов'язана проводити попереднє узгодження з регіональним представництвом Національного банку в таких випадках:

а) переведення АРМ-СЕП (у тому числі й тимчасово) в інше приміщення;

б) забезпечення роботи АРМ-СЕП поза межами організації;

в) виникнення інших нестандартних ситуацій.

86. Організація зобов'язана повідомляти регіональне представництво Національного банку протягом трьох робочих днів про:

а) призначення адміністраторів інформаційної безпеки, адміністраторів АРМ-СЕП/АРМ-НБУ і АРМ бухгалтера САБ (копія наказу або виписка з наказу);

б) звільнення від обов'язків адміністратора інформаційної безпеки, адміністраторів АРМ-СЕП/АРМ-НБУ та АРМ бухгалтера САБ (копія наказу або виписка з наказу);

в) отримання засобів захисту, що надсилаються регіональним представництвом Національного банку засобами спецзв'язку (з повідомленням про це за допомогою електронної пошти НБУ);

г) перехід на використання програмних засобів захисту АРМ-СЕП і зворотний перехід на роботу з АКЗІ (з наданням відповідного листа);

ґ) позапланову заміну ПМГК (з наданням відповідного листа).

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

ПОГОДЖЕНО:

 

Заступник Голови
Національного банку України

Я. В. Смолій

 

ЗОБОВ'ЯЗАННЯ
адміністратора інформаційної безпеки

_____________________________________________________________________________________
(найменування організації)

Я, __________________________________________________________________, який призначений
                                                                       (посада, прізвище, ім'я, по батькові)
згідно з розпорядчим документом від "___" ____________ 20__ р. N _______ адміністратором інформаційної безпеки організації, ознайомлений з правилами використання, зберігання й обліку засобів захисту інформації та інформаційної безпеки під час роботи з електронними банківськими документами і зобов'язуюся:

1. Забезпечувати та контролювати виконання режимних вимог до приміщень, у яких обробляються електронні документи, використовуються і зберігаються засоби захисту інформації Національного банку України.

2. Забезпечувати отримання, зберігання, облік і постійний контроль за використанням засобів захисту інформації Національного банку України.

3. Виконувати правила використання і зберігання засобів захисту інформації Національного банку України та здійснювати постійний контроль за технологією оброблення електронних банківських документів.

4. Знати нормативно-правові акти Національного банку України з питань інформаційної безпеки та здійснювати контроль за їх виконанням відповідальними особами.

5. Надавати інформацію щодо інформаційної безпеки регіональному представництву Національного банку України на її запити.

6. Підтримувати зв'язок з регіональним представництвом Національного банку України з питань інформаційної безпеки.

7. Передати всі засоби захисту інформації, ключі від сейфів, особисті печатки тощо в установленому порядку в останній день роботи у разі звільнення з роботи.

8. Забезпечувати конфіденційність системи захисту інформації організації, постійно вживати заходів щодо підвищення рівня захищеності інформації в організації.

____________________________________
(дата, підпис)

 

Знання Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затверджених постановою Правління Національного банку України від ___.____________.2015 N ___ та інших нормативно-правових актів Національного банку України з питань інформаційної безпеки перевірено.

Від регіонального представництва
Національного банку України
  

____________________________________
(підпис, ініціали, прізвище)

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

ЗОБОВ'ЯЗАННЯ

Я, __________________________________________________________________, який призначений
                                                             (посада, прізвище, ім'я, по батькові)
згідно з розпорядчим документом ________________________________________________________
                                                                                                                                    (найменування організації)
від "___" ____________ 20__ р. N ___ виконувати обов'язки __________________________________
                                                                                                                                               (адміністратора/оператора та назва АРМ)
ознайомлений з правилами використання засобів захисту інформації під час роботи з електронними банківськими документами і зобов'язуюся:

1. Виконувати правила використання та зберігання власних таємних ключів і дотримуватися технології оброблення електронних банківських документів.

2. Не передавати іншим особам власні таємні ключі.

3. Не розголошувати мережеві паролі, паролі входу до САБ / інших задач і пароль свого таємного ключа.

4. У разі спроби інших осіб отримати від мене засоби захисту інформації, підозри щодо втрати контролю за своїми таємними ключами або їх втрати негайно повідомити про це адміністратора інформаційної безпеки організації.

5. У разі звільнення з роботи в останній день роботи повернути адміністратору захисту інформації організації всі засоби захисту інформації, ключі від сейфів, особисті печатки тощо.

6. Забезпечувати конфіденційність системи захисту інформації організації.

Я, _________________________________________________________, попереджений про те, що всі
                                                        (прізвище, ім'я, по батькові)
електронні банківські документи, які мають електронний цифровий підпис, зроблений з використанням мого таємного ключа, уважаються підтвердженими мною, а електронний цифровий підпис - накладеним мною.

____________________________________
(дата, підпис)

 

Знання правил використання та зберігання таємних ключів перевірено.
Адміністратор інформаційної безпеки                                  ____________________________________
                                                                                                                                                          (підпис, ініціали, прізвище)

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

ЖУРНАЛ ОБЛІКУ
адміністратора інформаційної безпеки

Розділ 1. Перелік відповідальних за роботу із засобами захисту інформації Національного банку України осіб:

N
з/п

Прізвище, ініціали відповідальної особи

Функціональні обов'язки

Дата і номер документа про призначення

Дата і номер документа про звільнення від функціональних обов'язків

Примітки

1

2

3

4

5

6

 

 

 

 

 

 

Примітка. У колонці 6 робляться короткі робочі записи про причину звільнення відповідальної за роботу із засобами захисту особи.

Розділ 2. Перелік засобів захисту інформації Національного банку України:

N
з/п

Дата отримання

Назва

Дата копіювання

Дата і підпис відповідальної особи про отримання

Дата і підпис відповідальної особи про повернення

Примітки

1

2

3

4

5

6

7

 

 

 

 

 

 

 

Примітки: у колонці 7 за потреби робляться короткі робочі записи про факти втрати контролю за засобами захисту інформації тощо.

Розділ 3. Перелік таємних ключів, які генерувалися в організації відповідальними особами:

N
з/п

Назва ТК

Назва файлу ТК або номер захищеного носія ТК

Дата і підпис відповідальної особи, яка генерувала/
копіювала та отримала ТК

Дата і підпис відповідальної особи, яка знищувала ТК

Дата і підпис відповідальної особи, яка вилучила ВК з ТВК

Примітки

1

2

3

4

5

6

7

 

 

 

 

 

 

 

Примітка. У колонці 7 за потреби робляться короткі робочі записи.

Розділ 4. Перелік осіб, які мають допуск до приміщення з АРМ-СЕП/АРМ-НБУ:

N
з/п

Прізвище, ініціали

Функціональні обов'язки

Дата і номер документа про допуск

Дата і номер документа про скасування допуску

Примітки

1

2

3

4

5

6

 

 

 

 

 

 

Примітка. У колонці 6 за потреби робляться короткі робочі записи.

Розділ 5. Перелік ключів від сейфів (металевих шаф) відповідальних осіб, у яких зберігаються засоби захисту інформації Національного банку України:

N
з/п

Призначення ключа

N ключа

Прізвище, ініціали відповідальної особи, яка зберігає ключ

Примітки

1

2

3

4

5

 

 

 

 

 

Примітка. У колонці 5 за потреби робляться короткі робочі записи.

Розділ 6. Перелік особистих печаток (штампів, пломбіраторів) відповідальних осіб для опечатування засобів захисту інформації Національного банку України:

N
з/п

N печатки

Прізвище, ініціали відповідальної особи, яка зберігає ключ

Примітки

1

2

3

4

 

 

 

 

Примітка. У колонці 4 за потреби робляться короткі робочі записи.

Розділ 7. Облік приймання-передавання засобів захисту інформації Національного банку України, за які несе відповідальність адміністратор інформаційної безпеки:

Назва, версія, дата виготовлення засобів захисту інформації

Дата, час отримання

Підпис адміністратора інформаційної безпеки 1-ї зміни

Дата, час отримання

Підпис адміністратора інформаційної безпеки 2-ї зміни

1

2

3

4

5

 

 

 

 

 

Примітка. Відмітки про приймання-передавання засобів захисту інформації Національного банку України робляться щодня в разі двозмінної роботи адміністратора інформаційної безпеки, або у зв'язку з відсутністю основного адміністратора інформаційної безпеки - відпустка, навчання, хвороба тощо.

Розділ 8. Облік приймання-передавання таємних ключів відповідальних осіб, які зберігаються в адміністратора інформаційної безпеки організації:

N
з/п

Назва файлу ТК або номер захищеного носія ТК

Час отримання

Підпис відповідальної особи

Час повернення

Підпис адміністратора інформаційної безпеки

Примітки

1

2

3

4

5

6

7

 

 

 

 

 

 

 

Примітки:

не враховуються таємні ключі тих операторів робочих і технологічних місць САБ, які зберігають власні таємні ключі в особистих сейфах;

якщо оператор (операціоніст) не отримав власного таємного ключа для роботи, то в колонках 3 і 4 ставиться прочерк;

якщо строк дії таємного ключа закінчився, то в колонках 5 і 6 робиться відмітка про це;

у разі потреби допускається ведення не загального обліку таємних ключів, а індивідуального - за кожною відповідальною особою;

допускається зберігання облікових форм у швидкозшивачах. У цьому разі швидкозшивач є додатком до журналу обліку;

у колонці 7 за потреби робляться короткі робочі записи.

Розділ 9. Облік перевірок дотримання правил використання і зберігання засобів захисту інформації Національного банку України, проведених адміністратором інформаційної безпеки організації:

N
з/п

Дата перевірки

Порушення виявлено / не виявлено

Опис порушення

Підпис адміністратора інформаційної безпеки

1

2

3

4

5

 

 

 

 

 

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

ТАБЛИЦЯ
суміщення функціональних обов'язків

Функціональні обов'язки

Адміністратор інформаційної безпеки

Адміністратор АРМ-СЕП/
АРМ-НБУ-інф

Оператор АРМ бухгалтера (ключ типу В)

Оператор АРМ технолога (ключ типу А)

Операціоніст

Оператори АРМ інформ. задач

Адміністратор САБ

Відповідальний за розробку САБ

Адміністратор локальної мережі

Адміністратор електронної пошти

Адміністратор інформаційної безпеки

-

Х

Х

Х

Х

Х

Д

Х

Д

Д

Адміністратор АРМ-СЕП/АРМ-НБУ-інф

Х

-

Х

Д

Р

Р

Х

Х

Д

Д

Оператор АРМ бухгалтера (ключ типу В)

Х

Х

-

Х

Х

Р

Х

Х

Д

Д

Оператор АРМ технолога (ключ типу А)

Х

Д

Х

-

Х

Р

Р

Х

Д

Д

Операціоніст

Х

Р

Х

Х

-

Р

Х

Х

Д

Д

Оператори АРМ інформ. задач

Х

Р

Р

Р

Р

-

Р

Р

Р

Р

Адміністратор САБ

Д

Х

Х

Р

Х

Р

-

Д

Р

Р

Відповідальний за розробку САБ

Х

Х

Х

Х

Х

Р

Д

-

Х

Х

Адміністратор локальної мережі

Д

Д

Д

Д

Д

Р

Р

Х

-

Р

Адміністратор електронної пошти

Д

Д

Д

Д

Д

Р

Р

Х

Р

-

Примітки:

Р - суміщення обов'язків дозволено.

Д - суміщення можливе як виняток за погодженням з Департаментом інформаційної безпеки Національного банку України.

Х - суміщення обов'язків не дозволено.

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

ЖУРНАЛ
приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ-інф

Дата

Час отримання засобів захисту з сейфа

Прізвище, ініціали підпис адміністратора АРМ-СЕП/АРМ-НБУ-інф 1-ї зміни

Час отримання засобів захисту від 1-ї зміни

Прізвище, ініціали підпис адміністратора АРМ-СЕП/АРМ-НБУ-інф 2-ї зміни

Час повернення засобів захисту до сейфу

Прізвище, ініціали підпис адміністратора АРМ-СЕП/АРМ-НБУ-інф 2-ї зміни

N печатки

1

2

3

4

5

6

7

8

 

 

 

 

 

 

 

 

Примітка. Записи вносяться до журналу про всі зміни засобів захисту інформації Національного банку України АРМ-СЕП/АРМ-НБУ.

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

 

ЗАТВЕРДЖЕНО
Керівник (заступник керівника) організації
________________________________
                    (підпис, ініціали, прізвище)
"___" ____________ 20__ р.
М. П.

АКТ
про знищення засобів захисту інформації Національного банку України

м. ____________

"___" ____________ 20__ р.

Я, _______________________________________________________________________, адміністратор
                                                                              (прізвище, ім'я, по батькові)
інформаційної безпеки відповідно до листа Департаменту інформаційної безпеки Національного банку України від "___" ____________ 20__ р. N ___ знищив копію програмного модуля генерації ключів (версія _____________, дата виготовлення _______________) згідно з Правилами організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженими постановою Правління Національного банку України від ___.____________.2015 N ___.

Адміністратор інформаційної безпеки

____________________________________
(підпис, ініціали, прізвище)

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

ЕЛЕКТРОННА ПОШТА

Найменування організації

Національний банк України
Департамент інформаційної безпеки

_______________________________
(дата, N документа)

 

Просимо надати новий програмний модуль генерації ключів у зв'язку із звільненням (переведенням на іншу посаду) адміністратора інформаційної безпеки ________________________________________
                                                                                                                                                                     (ініціали, прізвище)
(або у зв'язку з утратою чи компрометацією діючого ПМГК).

Після вивчення всіх обставин копії матеріалів службового розслідування будуть надіслані на вашу адресу.

Керівник (заступник керівника) організації

____________________________________
(підпис, ініціали, прізвище)

Виконавець ___________________________
                                            (ініціали, прізвище)

 

роб. тел. ______________________________

 

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

Положення
про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України

I. Загальні положення

1. Це Положення розроблено відповідно до статті 7 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність", Законів України "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України (далі - Національний банк).

2. У тексті Положення терміни та скорочення вживаються в такому значенні:

Адміністратор інформаційної безпеки - фахівець з питань інформаційної безпеки, призначений наказом по організації для забезпечення впровадження та підтримки роботи засобів захисту Національного банку в цій організації;

АРМ - автоматизоване робоче місце;

АРМ-НБУ-інф - автоматизоване робоче місце АРМ-НБУ-інформаційний з програмними засобами захисту інформації, яке призначене для роботи в інформаційних задачах Національного банку;

засоби захисту - засоби захисту інформації, які є власністю Національного банку і використовуються в СЕП та інформаційних задачах;

захист інформації - захист електронної банківської інформації та електронних банківських документів;

інформаційні задачі - програмно-технічні комплекси автоматизації банківської діяльності, які забезпечують оброблення та передавання інформації, що не належить до платіжної та технологічної інформації системи електронних платежів, з використанням засобів захисту інформації Національного банку між банками України, їх філіями, Національним банком, органами державної влади і небанківськими установами;

організація - банки України та їх філії, державні і небанківські установи, які є безпосередніми учасниками СЕП та/або інформаційних задач і використовують засоби захисту;

підрозділ контролю стану інформаційної безпеки Департаменту інформаційної безпеки - структурний підрозділ Департаменту інформаційної безпеки Національного банку (далі - Департамент інформаційної безпеки), до функцій якого відноситься перевірки стану інформаційної безпеки та захисту електронних банківських документів з використанням засобів захисту в організаціях;

регіональне представництво Національного банку - структурний підрозділ Департаменту інформаційної безпеки Національного банку (далі - Департамент інформаційної безпеки), працівники якого мають робочі місця в територіальних управліннях Національного банку.

система захисту інформації Національного банку (далі - система захисту) - сукупність методів і засобів, що включає апаратно-програмні, програмні засоби захисту, ключову інформацію та систему розподілу ключової інформації, технологічні засоби контролю та організаційні заходи;

СЕП - система електронних платежів Національного банку.

Інші терміни та скорочення, що вживаються в цьому Положенні, використовуються в значеннях, визначених Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року N 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за N 1035/12909 (із змінами), Законом України "Про електронні документи та електронний документообіг", стандартами Національного банку України з управління інформаційною безпекою.

3. Положення регламентує порядок проведення планових та позапланових перевірок стану інформаційної безпеки в організаціях, які отримали засоби захисту відповідно до Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України.

4. Виїзні перевірки щодо дотримання організаціями вимог інформаційної безпеки здійснюються підрозділом контролю стану інформаційної безпеки Департаменту інформаційної безпеки відповідно до Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України (далі - Правила).

5. Департамент інформаційної безпеки здійснює аналіз стану інформаційної безпеки в організаціях з метою забезпечення безперервного, надійного та ефективного функціонування СЕП та інформаційних задач шляхом:

збору результатів внутрішніх перевірок та оцінки стану інформаційної безпеки організацій;

оцінювання стану інформаційної безпеки організацій за результатами виїзних перевірок.

6. Департамент інформаційної безпеки має право вимагати від організацій надання інформації та документів для здійснення перевірки шляхом направлення відповідного запиту.

7. Організації зобов'язані надавати до Департаменту інформаційної безпеки повну та достовірну інформацію і документи та їх копії належної якості у встановлені строки у визначеному порядку та форматі.

8. Національний банк застосовує до організацій заходи впливу за недотримання ними вимог Правил згідно із нормативно-правовими актами Національного банку, що визначають застосування до них таких заходів, на підставі результатів перевірок, наданих матеріалів.

9. Департамент інформаційної безпеки забезпечує нерозголошення інформації, отриманої ним під час контролю за станом інформаційної безпеки в організації, третім особам, за винятком випадків, передбачених законодавством України.

II. Контроль за станом інформаційної безпеки в організації

10. Працівник підрозділу контролю стану інформаційної безпеки Департаменту інформаційної безпеки, який здійснює перевірку, зобов'язаний мати при собі документи, які підтверджують його особу, і розпорядчий документ про проведення перевірки.

11. Перевірка здійснюється в присутності посадової особи, призначеної керівником організації.

12. Працівник підрозділу контролю стану інформаційної безпеки Департаменту інформаційної безпеки, який здійснює перевірку, має право:

а) перевіряти засоби захисту, АРМ-СЕП/АРМ-НБУ-інф, журнали, справи і документи з питань організації інформаційної безпеки;

б) відвідувати приміщення з АРМ-СЕП/АРМ-НБУ, вивчати умови зберігання засобів захисту;

в) відвідувати робочі місця всіх відповідальних осіб організації, які використовують засоби захисту, і вивчати умови використання та зберігання засобів захисту;

г) перевіряти у відповідальних за роботу із засобами захисту осіб знання нормативно-правових актів Національного банку, що регламентують забезпечення інформаційної безпеки, виконання рекомендацій Національного банку, їх уміння працювати із засобами захисту;

ґ) ознайомлюватися з наказами, актами, журналами діяльності автоматизованих програмно-апаратних систем та іншими документами організації, що дають змогу проконтролювати виконання вимог щодо інформаційної безпеки;

д) у разі залучення брати участь у службових розслідуваннях, що проводяться в організації, у разі виявлення недоліків в забезпеченні інформаційної безпеки.

13. Департамент інформаційної безпеки проводить тематичні планові (не рідше одного разу на два роки) і позапланові перевірки.

Підставою для проведення позапланових перевірок є включення організації в СЕП та/або інформаційні задачі, перехід на роботу з однієї моделі обслуговування консолідованого кореспондентського рахунку на іншу, зміна місцезнаходження організації, перевірка після усунення недоліків, виявлених під час попередньої перевірки.

14. За результатами перевірки складається довідка про результати перевірки стану інформаційної безпеки організації (додаток 1) у двох примірниках. Підрозділ контролю стану інформаційної безпеки Департаменту інформаційної безпеки зберігає один примірник цієї довідки, організація - другий.

III. Перевірка готовності організації до включення в СЕП та інформаційні задачі

15. Підрозділ контролю стану інформаційної безпеки Департаменту інформаційної безпеки зобов'язаний перевірити готовність організації до включення в СЕП та інформаційні задачі, у яких використовуються засоби захисту, після вжиття організацією необхідних первинних заходів щодо організації захисту електронної банківської інформації відповідно до вимог, що визначаються Правилами.

16. Підставою для перевірки є відповідний розпорядчий документ Департаменту інформаційної безпеки.

17. Під час перевірки розглядаються такі питання:

а) наявність технічних можливостей для організації робочих місць відповідальних за роботу із засобами захисту осіб;

б) стан приміщення з АРМ-СЕП/АРМ-НБУ-інф;

в) наявність відповідальних за роботу із засобами захисту осіб;

г) наявність копій нормативно-правових актів Національного банку щодо забезпечення інформаційної безпеки під час роботи із засобами захисту;

ґ) наявність розпорядчого документа організації про призначення відповідальних за роботу із засобами захисту осіб і зобов'язань усіх відповідальних осіб;

д) перевірка знань нормативно-правових актів, що регламентують порядок забезпечення інформаційної безпеки під час роботи із засобами захисту.

18. За результатами перевірки складається відповідна довідка (додаток 1).

За наявності недоліків, що можуть впливати на безпеку електронних банківських документів, складається довідка із зазначенням виявлених.

19. Засоби захисту для організації виготовляються Департаментом інформаційної безпеки на підставі повідомлення підрозділу контролю стану інформаційної безпеки Департаменту інформаційної безпеки.

20. Замовлення на виготовлення засобів захисту інформації має подаватися не пізніше ніж за 10 календарних днів до включення організації до Довідника учасників СЕП.

Завершальним етапом підготовки організації до включення в СЕП є генерація і сертифікація ключів для АРМ СЕП, що мають проводитися за один робочий день до включення організації до довідника учасників СЕП.

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

ПОГОДЖЕНО:

 

Заступник Голови
Національного банку України

Я. В. Смолій

 

Довідка
про результати перевірки стану інформаційної безпеки

у ____________________________________
(найменування організації)

м. ____________ 

"___" ____________ 20__ р.

Комісія в складі:

представник Департаменту інформаційної безпеки Національного банку України
_____________________________________________________________________________________,
                                                                                            (ініціали, прізвище)

адміністратор інформаційної безпеки ____________________________________________________,
                                                                                                                                   (ініціали, прізвище)

адміністратор АРМ-СЕП/АРМ-НБУ-інф __________________________________________________,
                                                                                                                                    (ініціали, прізвище)

адміністратор САБ ____________________________________________________________________
                                                                                                                (ініціали, прізвище)

провела планову перевірку стану інформаційної безпеки та організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України.

Перевірка здійснювалася на підставі:

Положення про порядок перевірки стану інформаційної безпеки в банках України та Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затверджених постановою Правління Національного банку України від ___.____________.2015 N ___;

_____________________________________________________________________________________ затверджених постановою Правління Національного банку України від ___.____________.2015 N ___;

_____________________________________________________________________________________ затверджених постановою Правління Національного банку України від ___.____________.2015 N ___;

Під час проведення перевірки встановлено:

1. Виконання вимог до приміщень.

1.1. Приміщення, у яких розташоване/і АРМ-СЕП/АРМ-НБУ, мають такі характеристики:

ізольоване приміщення ____________ (так/ні);

має міцні стіни, стелю та підлогу ____________ (так/ні);

на вікнах установлені ґрати ____________ (так/ні);

_____________________________________________________________________________________;
(якщо немає, то зазначити причину)

двері до службового приміщення:

обладнані кодовим замком ____________ (так/ні);

обладнані місцем для опечатування ____________ (так/ні);

обладнані стандартною сигналізацією:

пожежною ____________ (так/ні);

охоронною з двома рубежами захисту ____________ (так/ні);

_____________________________________________________________________________________;
(якщо немає, то зазначити причину)

на посту охорони є інструкція про дії охорони в разі спрацювання сигналізації, пожежі, стихійного лиха тощо ____________ (так/ні).

1.2. У приміщенні розташовані такі програмні комплекси:
_____________________________________________________________________________________.
                                                                                                     (зазначити, які саме)

1.3. У приміщенні є сейфи (металеві шафи) для зберігання засобів захисту інформації, документів до них у неробочий час ____________ (так/ні).

1.4. Ключі від сейфів і печатки для опечатування зареєстровані в журналі обліку адміністратора захисту інформації ____________ (так/ні).

1.5. Приміщення розташоване та обладнане так, щоб унеможливити безконтрольне поширення інформації про електронні банківські документи та засоби захисту інформації (акустично, візуально) за межі приміщення або організації (контрольованої території) ____________ (так/ні).

1.6. Усі працівники організації, які мають постійний допуск до приміщення з АРМ-СЕП/АРМ-НБУ-інф, призначені згідно з наказом організації ____________ (так/ні).

1.7. Розміщення сервера САБ, вузла електронної пошти, АРМ бухгалтера САБ _____________________________________________________________________________________.
                                                                                       (зазначити місце їх розташування)

1.8. Розміщення робочого місця адміністратора захисту інформації, наявність сейфа та його розміщення __________________________________________________________________________.
                                                                                                  (зазначити місце їх розташування)

1.9. Розміщення робочих місць АРМ бухгалтера САБ
_____________________________________________________________________________________.
                                                                                    (зазначити місце їх розташування)

1.10. Розміщення інших робочих і технологічних місць САБ та інформаційних задач _____________________________________________________________________________________.
                                                                                    (зазначити недоліки, якщо вони є)

2. Засоби захисту інформації та робота з ними.

2.1. Використовуються такі засоби захисту інформації:

апаратура криптографічного захисту інформації N ______________________________;

смарт-картки N ______________________________;

програмний модуль генерації ключів _____________________________________________________;

інші ________________________________________________________________________________;

таємні ключі, записані на _______________________________, _______________________________.

2.2. Умови зберігання засобів захисту інформації АРМ-СЕП/АРМ-НБУ-інф (сейф для зберігання засобів захисту інформації, що розміщений у приміщенні з АРМ-СЕП, наявність журналу обліку засобів захисту АРМ-СЕП, правильність його заповнення).

2.3. Наявність голографічної наклейки на апаратурі криптографічного захисту інформації ____________ (так/ні).

2.4. Для програмного комплексу АРМ-СЕП/АРМ-НБУ-інф застосовуються вимоги щодо комп'ютера:

операційна система WINDOWS _____ з відповідними настройками, згідно з вимогами та рекомендаціями Національного банку України щодо налаштувань безпеки операційної системи;

наявність антивірусних програм та їх використання ________________________________________;

наявність іншого програмного забезпечення ______________________________________________.

2.5. Наявність резервних джерел живлення (UPS, дизель-генератор) ____________ (так/ні).

2.6. Умови зберігання програмного модуля генератора ключів та його робочої копії _____________________________________________________________________________________.

2.7. Кількість таємних ключів, які одночасно використовуються в організації _____________________________________________________________________________________.

2.8. Наявність умов для генерації ключів
_____________________________________________________________________________________.
                                                                             (зазначити недоліки умов, якщо вони є)

2.9. Умови зберігання таємних ключів відповідальними виконавцями (у власних сейфах, у сейфі адміністратора інформаційної безпеки тощо). У разі потреби може бути проведена перевірка виконання умов використання і зберігання таємних ключів на робочих місцях.

2.10. Наявність випадків втрати контролю за таємними ключами або їх втрати, заходи, що були вжиті для запобігання повторенню таких випадків, _________________________________________.

2.11. В організації використовується САБ ___________________________________________, версія ____________________________________, розробник ______________________________________.

2.12. В організації використовується система "клієнт-банк" ____________________________, версія ____________________________________, розробник ______________________________________.

До системи підключено ____________________ клієнтів.

2.13. Організація має ______ безбалансових відділень та ______ віддалених робочих місць, у яких використовується програмне забезпечення ________________________________________________, розробник ___________________________________________.

3. Призначення відповідальних за роботу із засобами захисту інформації осіб.

3.1. Усі особи, відповідальні за роботу із засобами захисту інформації, призначені згідно з розпорядчим документом організації. Виявлено такі недоліки: _______________________________.
                                                                                                                                                           (зазначити, які саме)

3.2. Наявність випадків суміщення обов'язків ______________________________________________
_____________________________________________________________________________________.
                                                                                           (зазначити, які саме)

3.3. Наявність підписаних відповідальними особами зобов'язань для всіх осіб, які використовують засоби захисту інформації, ____________ (так/ні).

3.4. Наявність особистих печаток (штампів тощо) для опечатування засобів захисту інформації, сейфів тощо ____________ (так/ні).

3.5. Вибіркова перевірка знань нормативно-правових актів з питань захисту інформації відповідальними особами виявила такі недоліки:
_____________________________________________________________________________________.
                                                                                               (зазначити, які саме)

4. Організація діловодства з питань захисту інформації.

4.1. Наявність:

справи адміністратора інформаційної безпеки;

журналу обліку адміністратора інформаційної безпеки.

4.2. Під час перевірки наявності потрібних документів у справі адміністратора інформаційної безпеки виявлено такі недоліки:
_____________________________________________________________________________________.
                                                                                                   (зазначити, які саме)

4.3. Під час перевірки ведення журналу обліку адміністратора інформаційної безпеки, наявності всіх необхідних розділів відповідно до Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України,
_____________________________________________________________________________________.
                                                                                                    (зазначити, які саме)

4.4. Під час перевірки наявності архівів роботи АРМ-СЕП/АРМ-НБУ-інф, які включають арбітражні журнали роботи АРМ-НБУ-інф та захищений від модифікації протокол роботи, і архівів відкритих ключів операціоністів, які генерувалися в організації, виявлено такі недоліки:
_____________________________________________________________________________________.
                                                                                                    (зазначити, які саме)

5. ___________________________________________________________________________________
                                                                             (результати додаткових тематичних перевірок)
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________.

Висновки

1. Недоліки ___________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________.

2. Строки усунення ____________________________________________________________________.

3. Рекомендації ________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________.

Підписи членів комісії:

____________________________________
(підпис, ініціали, прізвище)

 

____________________________________
(підпис, ініціали, прізвище)

 

____________________________________
(підпис, ініціали, прізвище)

З довідкою ознайомлені:

____________________________________
(підпис, ініціали, прізвище)

 

____________________________________
(підпис, ініціали, прізвище)

Примітка. Якщо організація працює лише в інформаційних задачах, то пункти перевірки, що стосуються системи електронних платежів, з довідки виключаються.

 

Директор
Департаменту інформаційної безпеки

Д. О. Лук'янов

 

* * *

АНАЛІЗ РЕГУЛЯТОРНОГО ВПЛИВУ
проекту постанови Правління Національного банку України "Про затвердження нормативно-правових актів з питань інформаційної безпеки "

I. Визначення та аналіз проблеми, яку пропонується розв'язати шляхом державного регулювання

Відповідно до пунктів 4 і 7 статті 7 Закону України "Про Національний банк України" для забезпечення безперервного, надійного і ефективного функціонування платіжних систем та систем автоматизації банківської діяльності Національний банк встановлює для банківських установ правила захисту інформації.

Запровадження проектів нормативно-правових актів Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, Правила організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України та Положення про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України (далі - Проекти) сприятиме вдосконаленню порядку взаємодії Національного банку України (далі - Національний банк) з банками України, їх філіями, державними і небанківськими установами (далі - банківські та інші установи) в частині забезпечення їх засобами захисту Національного банку на підставі відповідних договорів.

В основу Проектів покладено постанову Національного банку від 02 квітня 2007 року N 112 "Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України", зареєстровану в Міністерстві юстиції України 24 квітня 2007 року за N 419/13686.

II. Визначення цілей державного регулювання

Метою розроблення Проектів є:

вдосконалення порядку забезпечення банківських та інших установ засобами захисту інформації Національного банку для участі у системі електронних платежів та/або інформаційних задач Національного банку;

унормування централізованого порядку укладання та ведення договорів з питань забезпечення засобами захисту інформації Національного банку України.

III. Визначення та оцінка всіх прийнятних альтернативних способів досягнення встановлених цілей з аргументацією переваг обраного способу

Зважаючи на те, що, відповідно до пунктів 4 і 7 статті 7 Закону України "Про Національний банк України" правила захисту інформації та порядок застосування засобів захисту інформації Національного банку в банківській діяльності визначається Національним банком, альтернативні способи досягнення поставлених цілей відсутні.

IV. Опис механізмів і заходів, які забезпечать розв'язання визначеної проблеми шляхом прийняття запропонованого регуляторного акта

Ухвалення Проектів дасть можливість:

врегулювати взаємовідносини між Національним банком і банківськими та іншими установами, які є безпосередніми учасниками системи електронних платежів Національного банку та/або інформаційних задач Національного банку, в частині забезпечення цих установ засобами захисту інформації Національного банку;

вдосконалити порядок укладання та ведення договорів з питань забезпечення засобами захисту інформації Національного банку України.

У разі затвердження Правлінням Національного банку запропонованих для розгляду Проектів ці документи засобами електронної пошти Національного банку будуть доведені до відома банківських та інших установ для використання в роботі, а також до відома Асоціації українських банків, Асоціації "Український кредитно-банківський союз" і Асоціації "Незалежна асоціація банків України".

Контроль за дотриманням вимог затверджених нормативно-правових актів здійснюватиме Департамент інформаційної безпеки Національного банку шляхом перевірок банківських та інших установ, які використовують засоби захисту Національного банку.

V. Обґрунтування можливості досягнення цілей у разі прийняття запропонованого регуляторного акта, оцінка можливості впровадження та виконання вимог регуляторного акта

Вимоги регуляторного акта є обов'язковим для виконання банківськими та іншими установами, які використовують засоби захисту інформації Національного банку.

До зовнішніх чинників, які потенційно можуть впливати на дію запропонованих Проектів, можна віднести зміни в чинному законодавстві України у сфері банківської діяльності та електронно-цифрового підпису.

Питання невиконання або неналежного виконання вимог запропонованого регуляторного акта регулюється чинним законодавством України та умовами договорів.

VI. Визначення очікуваних результатів прийняття запропонованого регуляторного акта

Ухвалення Проектів сприятиме спрощенню взаємодії організацій з Національним банком під час забезпечення засобами захисту інформації, а також запровадить централізований порядок укладання та ведення договорів з питань забезпечення засобами захисту інформації Національного банку України.

Очікувані результати ухвалення запропонованого регуляторного акта можна визначити, застосовуючи метод аналізу позитивних і можливих негативних наслідків дії акта в простій формі.

VII. Обґрунтування запропонованого строку чинності запропонованого акта

Запропонований до розгляду регуляторний акт набере чинності в установленому законодавством порядку і діятиме без визначення строку.

VIII. Визначення показників результативності регуляторного акта

Для відстеження результативності регуляторного акта планується вивчати та аналізувати практику застосування норм цього документа, використовуючи звернення, запити, повідомлення, пропозиції, набутий практичний досвід банківських та інших установ.

Показником результативності регуляторного акта буде, зокрема, відсутність проблемних питань у роботі банківських та інших установ в системі електронних платежів та/або інформаційних задачах Національного банку в частині забезпечення захисту електронних банківських документів з використанням засобів захисту інформації Національного банку.

IX. Визначення заходів, за допомогою яких здійснюватимуться відстеження результативності регуляторного акта в разі його прийняття

Відповідно до статті 10 Закону України "Про засади державної регуляторної політики у сфері господарської діяльності" Національний банк проводить базові, повторні та періодичні відстеження результативності власних регуляторних актів у порядку, визначеному Методикою проведення аналізу впливу регуляторного акта Національного банку України, затвердженою постановою Кабінету Міністрів України від 14 квітня 2004 року N 471.

Відстеження результативності регуляторного акта, у разі його ухвалення, буде здійснюватись на підставі опрацювання та систематизації інформації, що надходитиме до Департаменту інформаційної безпеки Національного банку від банківських та інших установ, які використовують засоби захисту інформації Національного банку.

 

Голова
Національного банку України

В. О. Гонтарева

Опрос