Про затвердження нормативно-правових актів з питань інформаційної безпеки

6) видати адміністратору АРМ-СЕП отримані ЗЗІ відповідно до пунктів 17 - 19 розділу IV цих Правил;

7) протягом трьох робочих днів повідомити Департаменту інформаційної безпеки про перехід на роботу з АКЗІ.

23. Адміністратор АРМ-СЕП зобов'язаний перейти на роботу з резервною СК у разі виходу з ладу СК. Адміністратор інформаційної безпеки, зобов'язаний звернутися до Департаменту інформаційної безпеки для заміни СК, що вийшла з ладу, у тому самому порядку, за яким ця СК була отримана відповідно до розділу III Положення про захист.

24. Адміністратор інформаційної безпеки після отримання ПМГК зобов'язаний:

1) зробити відповідний запис у розділах II і VII журналу обліку адміністратора інформаційної безпеки (додаток 1);

2) зняти копію ПМГК за допомогою засобів, які є на ПМГК;

3) зареєструвати копію ПМГК у розділах II і VII журналу обліку адміністратора інформаційної безпеки (додаток 1);

4) здійснити перевірку ПМГК шляхом пробної генерації ключів;

5) забезпечити генерацію ключів для всіх робочих місць (діючі ТК мають право використовуватися до закінчення строку їх дії).

25. Адміністратор інформаційної безпеки в разі неможливості зняти копію ПМГК або в разі невдалої генерації ключа зобов'язаний повідомити про це Департамент інформаційної безпеки системою електронної пошти Національного банку протягом одного робочого дня і діяти відповідно до його рекомендацій.

26. Адміністратори інформаційної безпеки зобов'язані під час обміну ПМГК і його копіями між собою робити відповідні записи в розділі VII журналу обліку адміністратора інформаційної безпеки (додаток 1).

27. Адміністратор інформаційної безпеки зобов'язаний зберігати ПМГК і його копію в неробочий час і в робочий час, якщо він не використовується в роботі, у сейфі. Адміністратор інформаційної безпеки зобов'язаний замкнути й опечатати сейф відбитком особистої печатки.

28. Після завершення строку використання ПМГК організація зобов'язана знищити ПМГК та його копію на місці методом, який унеможливлює їх відновлення, і скласти акт про знищення засобів захисту інформації Національного банку України (додаток 7) у двох примірниках та подати цей акт Департаменту інформаційної безпеки під час отримання нового ПМГК у територіальному управлінні. Департамент інформаційної безпеки зберігає один примірник цього акта, організація - другий.

Адміністратор інформаційної безпеки зобов'язаний зробити відповідний запис про знищення ПМГК та його копії із зазначенням номерів і дат акта про знищення засобів захисту інформації Національного банку України у розділі II журналу обліку адміністратора інформаційної безпеки (додаток 1).

29. Адміністратор інформаційної безпеки в разі псування носія з ПМГК до завершення строку його використання зобов'язаний:

1) відновити ПМГК із резервної копії;

2) зробити відповідний запис у розділі II журналу обліку адміністратора інформаційної безпеки (додаток 1);

3) повідомити Департамент інформаційної безпеки засобами системи електронної пошти Національного банку про заміну копії ПМГК і нові номери сеансів генерації ключів, які надаватимуться цією копією ПМГК під час наступних сеансів генерації ключів.

30. Адміністратор інформаційної безпеки в разі втрати ПМГК (та/або його копії) або втрати контролю за місцезнаходженням ПМГК та/або його копії зобов'язаний:

1) проінформувати про це Департамент інформаційної безпеки засобами системи електронної пошти Національного банку і замовити новий ПМГК (додаток 8);

2) не проводити генерації ключів до отримання нового ПМГК;

3) провести службове розслідування, копію матеріалів якого подати Департаменту інформаційної безпеки;

4) отримати новий ПМГК відповідно до встановленого порядку і надалі вживати заходів, що передбачені в пунктах 24 - 28 розділу V цих Правил.

31. Організація зобов'язана здійснити заміну ПМГК відповідно до пункту 30 розділу V цих Правил без службового розслідування, не припиняючи роботи в СЕП та/або в інформаційних задачах, якщо один з адміністраторів інформаційної безпеки звільняється від обов'язків адміністратора інформаційної безпеки.

32. Відповідальна особа, яка працюватиме з ключем, зобов'язана генерувати кожен ключ за допомогою ПМГК на робочому місці, яке відповідає вимогам пункту 75 розділу VIII цих Правил, у присутності адміністратора інформаційної безпеки.

Адміністратор інформаційної безпеки зобов'язаний реєструвати всі спроби генерації ключів, у тому числі й невдалі, у розділі III журналу обліку адміністратора інформаційної безпеки (додаток 1).

33. З метою підвищення рівня інформаційної безпеки організація має право використовувати захищені носії ТК, використання яких погоджено Департаментом інформаційної безпеки.

Департамент інформаційної безпеки надає відповідні криптобібліотеки підтримки носіїв ТК, рекомендації щодо налаштування доступу до ТК програмної частини системи захисту інформації та програмне забезпечення для перенесення ТК з ГМД на захищений носій ТК. Відповідальна особа здійснює перенесення ТК за допомогою вищезазначеного програмного забезпечення з реєстрацією як операції зі створення копії ТК відповідно до пункту 34 розділу V цих Правил. Після перенесення ТК відповідальна особа зобов'язана знищити ТК на ГМД відповідно до пункту 46 розділу V цих Правил.

Відповідальна особа зобов'язана здійснювати перенесення власного ТК з ГМД на апаратний носій на окремому немережевому комп'ютері в присутності адміністратора інформаційної безпеки.

ВК після їх генерації (ключі операціоністів САБ сертифікації не потребують) підлягають сертифікації в Національному банку.

34. Відповідальна особа має право створити копії ТК (за винятком ТК операціоністів САБ) для запобігання зупиненню роботи організації в СЕП та/або в інформаційних задачах у разі псування носія ТК за умови наявності документа організації, який визначає створення копій ТК та відповідальних за їх зберігання осіб, і з обов'язковим здійсненням запису в розділі III журналу обліку адміністратора інформаційної безпеки (додаток 1).

35. Відповідальна особа, яка проводить генерацію ключа і надалі працює з ним, зобов'язана встановити індивідуальний пароль для ТК (за необхідності - його копії) і не має розголошувати пароль жодній особі (крім випадків, якщо передбачено передавання ТК робочого місця іншій відповідальній особі).

36. На створені копії ПМГК і ТК поширюються всі вимоги щодо інформаційної безпеки, як і на основні ЗЗІ.

37. У разі використання захищених носіїв ТК відповідальна особа самостійно забезпечує зберігання таких носіїв.

Організація має право використовувати захищені носії ТК для розв'язання інших завдань організації (обмеження доступу до комп'ютерів, приміщень тощо).

38. У разі використання на робочих місцях САБ та/або інформаційних задач, що функціонують в операційному середовищі UNIX із ЗЗІ, заборонено використовувати незахищені носії ТК.

У такому разі після генерації ТК відповідальна особа, адміністратор інформаційної безпеки або адміністратор САБ забезпечують копіювання цього файла з ТК у захищену директорію, яка доступна для читання тільки з робочого місця саме цієї відповідальної особи, з відповідним записом у журналі обліку адміністратора інформаційної безпеки та обов'язковим підписом особи, яка копіювала ТК у захищену директорію.

39. У разі використання незахищеного носія ТК відповідальна особа зобов'язана зберігати ТК (і за необхідності їх копії) у неробочий час у власному сейфі, який має бути замкнутий і опечатаний відбитком її особистої печатки.

40. Відповідальні особи зобов'язані дотримуватися правил використання та зберігання ТК для унеможливлення їх несанкціонованого копіювання в разі використання незахищених носіїв ТК.

41. Адміністратор інформаційної безпеки має право забезпечити зберігання ТК відповідальних осіб у неробочий час у власному сейфі, якщо немає достатньої кількості особистих сейфів.

Адміністратор інформаційної безпеки зобов'язаний зберігати кожний ТК в окремій упаковці, що опечатується відбитком особистої печатки відповідальної особи, або в окремому запечатаному конверті з особистим підписом відповідальної особи.

Адміністратор інформаційної безпеки зобов'язаний видавати ТК відповідальним особам для роботи і приймати їх на зберігання з реєстрацією в розділі VIII журналу обліку адміністратора інформаційної безпеки (додаток 1).

42. Адміністратори АРМ-СЕП/АРМ-НБУ-інф зобов'язані передавати ТК АРМ-СЕП/АРМ-НБУ-інф (і за необхідності їх копії) між собою із здійсненням запису в журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ-інф (додаток 5).

43. ТК мають обмежений строк дії, що встановлюється під час сертифікації ВК. Для ключів операціоністів, які не підлягають сертифікації, строк дії ключа становить 100 днів.

Відповідальна особа зобов'язана здійснювати своєчасну генерацію ТК у зв'язку із закінченням строку його дії.

44. Адміністратор інформаційної безпеки організації зобов'язаний вести архів ВК операціоністів для забезпечення можливості перевірки ЕЦП операціоністів протягом усього строку зберігання архівів електронних банківських документів.

Строк зберігання архівів ВК операціоністів відповідає строку зберігання електронних банківських документів.

45. Адміністратор інформаційної безпеки зобов'язаний здійснювати контроль за строком дії ключів, забезпечувати своєчасну їх генерацію відповідальними особами і відправлення ВК на сертифікацію з метою уникнення невиправданої зупинки роботи організації.

46. Відповідальна особа зобов'язана знищувати ТК (та їх копії) після закінчення строку дії і здійснювати відповідний запис у розділі III журналу обліку адміністратора інформаційної безпеки (додаток 1).

ТК не вносяться до архіву електронних банківських документів.

47. Відповідальна особа в разі псування носія ТК до завершення строку його дії зобов'язана:

1) зняти ще одну копію ТК (у разі її наявності) або здійснити нову генерацію цього ключа;

2) здійснити відповідні записи в розділі III журналу обліку адміністратора інформаційної безпеки (додаток 1).

48. Відповідальна особа в разі компрометації ТК зобов'язана припинити використання цього ТК і повідомити адміністратора захисту інформації.

49. Адміністратор захисту інформації в разі компрометації ТК зобов'язаний:

1) повідомити системою електронної пошти Національного банку Департамент інформаційної безпеки, якщо це був ТК АРМ-СЕП або АРМ бухгалтера САБ;

2) забезпечити вилучення відповідного ВК з ТВК (за допомогою ПМГК) у встановленому порядку;

3) забезпечити генерацію нового ТК і надалі вживати заходів щодо його введення в дію.

50. Організація зобов'язана в разі втрати контролю за ТК провести службове розслідування, копії матеріалів якого подати до Департаменту інформаційної безпеки.

51. Адміністратор інформаційної безпеки зобов'язаний забезпечити вилучення з роботи відповідних ВК у встановленому порядку, якщо відповідальна особа, яка має ТК для будь-якого робочого місця, звільняється від виконання відповідних функціональних обов'язків.

52. Організація зобов'язана затвердити внутрішній порядок зберігання ТК залежно від конкретних умов її функціонування, забезпечивши дотримання вимог цих Правил.

53. Організація зобов'язана вжити заходів для усунення загрози втрати ЗЗІ, електронних архівів, комп'ютерної техніки тощо в разі виникнення надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо). Дії працівників організації, які використовують ЗЗІ, регламентуються відповідною довідкою про дії відповідальних осіб у разі виникнення надзвичайних ситуацій, що складається в довільній формі, підписується керівником організації і зберігається у справі адміністратора інформаційної безпеки. Відповідальні особи повинні зберігати виписку з цієї довідки на своїх робочих місцях.

54. Організація має право визначити тимчасовий порядок використання та зберігання ЗЗІ (за попереднім узгодженням з Департаментом інформаційної безпеки і дотриманням вимог цих Правил) за необхідності:

1) роботи протягом одного робочого дня в приміщенні іншої організації в разі виникнення аварійної ситуації (відключення електроживлення, пошкодження ліній зв'язку тощо);

2) переведення АРМ-СЕП/АРМ-НБУ-інф в інше приміщення;

3) проведення ремонтних робіт.

Організація в такому випадку зобов'язана затвердити цей порядок і його копію в паперовій або електронній формі надіслати Департаменту інформаційної безпеки.

55. Діловодство з питань інформаційної безпеки в організації ведуть:

1) адміністратор інформаційної безпеки;

2) адміністратор АРМ-СЕП/АРМ-НБУ-інф;

3) відповідальні особи, які використовують єдиний ТК.

56. Адміністратор інформаційної безпеки зобов'язаний вести:

1) справу адміністратора інформаційної безпеки;

2) журнал обліку адміністратора інформаційної безпеки (додаток 1).

57. Адміністратор інформаційної безпеки зобов'язаний зберігати в справі адміністратора інформаційної безпеки такі документи:

1) копії нормативно-правових актів та рекомендації Національного банку з питань інформаційної безпеки;

2) довідку про останню перевірку Департаментом інформаційної безпеки стану інформаційної безпеки;

3) зобов'язання відповідальних осіб (додатки 2, 3);

4) акти про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 2 до Положення про захист) та/або супровідні листи до ЗЗІ, які перебувають у використанні;

5) акт про знищення засобів захисту інформації Національного банку України (додаток 7);

6) листи про надання ЗЗІ (додаток 8);

7) акт про повернення до Департаменту інформаційної безпеки, знищення і передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку (додаток 3 до Положення про захист);

8) довідку про дії відповідальних осіб у разі виникнення надзвичайних ситуацій з підписом керівника організації;

9) інші документи з питань інформаційної безпеки.

До справи адміністратора інформаційної безпеки не включаються документи, що не стосуються інформаційної безпеки.

58. Листи Національного банку (або їх копії) з питань інформаційної безпеки, експлуатації СЕП у частині, що стосується захисту інформації в СЕП, які надходять системою електронної пошти Національного банку, повинні або включатися до справи адміністратора інформаційної безпеки або реєструватися, зберігатися і знищуватися відповідно до правил діловодства організації.

59. Адміністратор АРМ-СЕП/АРМ-НБУ-інф зобов'язаний вести журнал приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ-інф (додаток 5 ), у якому реєструються всі переміщення і зміни ЗЗІ на АРМ-СЕП/АРМ-НБУ-інф.

60. Відповідальні особи зобов'язані вести журнал приймання-передавання таємних ключів робочих і технологічних місць (додаток 6 ) у разі передавання ТК робочого місця іншій відповідальній особі.

61. Організація, яка використовує АРМ-СЕП/АРМ-НБУ-інф, зобов'язана розмістити їх в одному або окремих приміщеннях (крім приміщення адміністратора інформаційної безпеки) з обмеженим доступом, двері яких повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або системою контролю доступу, яка забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному електронному журналі.

Дозволяється розміщувати АРМ-СЕП та АРМ-НБУ-інф на одному комп'ютері.

62. Дозволяється розміщувати комп'ютер з АРМ-СЕП/АРМ-НБУ-інф у серверному приміщенні, якщо цей програмно-апаратний комплекс працює в автоматичному режимі. У цьому разі адміністратор АРМ-СЕП зобов'язаний реагувати на інформаційні повідомлення, які надсилаються на АРМ-СЕП.

63. Організація зобов'язана установити ґрати на вікно (вікна) у приміщенні АРМ-СЕП, якщо воно:

1) внутрішнє і виходить в інше приміщення або коридор організації;

2) зовнішнє і розташовується на першому чи останньому поверсі організації;

3) зовнішнє і розташовується на інших поверхах організації, до яких є доступ з прилеглих об'єктів.

64. Організація зобов'язана обладнати приміщення з АРМ-СЕП/АРМ-НБУ-інф системою охоронної сигналізації з двома рубежами захисту:

1) перший - датчики охорони периметра;

2) другий - датчики контролю за переміщенням об'єктів у приміщенні.

65. Організація зобов'язана встановити в приміщенні з АРМ-СЕП/АРМ-НБУ-інф сейфи (металеві шафи), призначені для зберігання в неробочий час ЗЗІ і документів до них.

66. Адміністратор інформаційної безпеки зобов'язаний обліковувати ключі від сейфів (металевих шаф) і печатки для їх опечатування в розділах V і VI журналу обліку адміністратора інформаційної безпеки (додаток 1).

67. Адміністратор АРМ-СЕП/АРМ-НБУ-інф під час виконання своїх обов'язків зобов'язаний:

1) зберігати ключі від вхідних дверей приміщення з АРМ-СЕП/АРМ-НБУ-інф і сейфів (металевих шаф) у робочий час;

2) замикати або блокувати системою доступу приміщення з АРМ-СЕП/АРМ-НБУ-інф у разі своєї відсутності.

68. Адміністратор АРМ-СЕП/АРМ-НБУ-інф має право зберігати ключі від сейфів (металевих шаф) адміністратора АРМ-СЕП/АРМ-НБУ-інф в опечатаному вигляді в тому самому приміщенні.

69. Організація зобов'язана призначати працівників, які мають допуск до приміщення з АРМ-СЕП/АРМ-НБУ-інф з правом самостійної роботи, внутрішнім документом, у якому повинні зазначатися всі відповідальні особи і ЗЗІ, які вони використовують.

Адміністратор інформаційної безпеки обліковує призначених осіб у розділі VI журналу обліку адміністратора інформаційної безпеки (додаток 1).

70. Право допуску до приміщення з АРМ-СЕП/АРМ-НБУ-інф під контролем відповідальних осіб відповідно до пункту 69 мають:

1) керівник організації (або особа, яка виконує його обов'язки);

2) заступник керівника організації, який призначений відповідальним за організацію інформаційної безпеки;

3) адміністратори інформаційної безпеки;

4) інші працівники організації, які обслуговують приміщення й АРМ-СЕП/АРМ-НБУ-інф;

5) представники Департаменту інформаційної безпеки, які здійснюють перевірку стану інформаційної безпеки в організації.

71. Працівники служби інформаційної безпеки організації (якщо вони не призначені внутрішнім документом організації як відповідальні особи за роботу із ЗЗІ) мають право доступу до приміщення з АРМ-СЕП/АРМ-НБУ-інф лише для вирішення питань, що належать до їх компетенції.

72. Працівники організації, які мають право доступу до приміщення з АРМ-СЕП/АРМ-НБУ-інф, зобов'язані перебувати в приміщенні з АРМ-СЕП/АРМ-НБУ-інф лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ-інф та на час виконання своїх обов'язків, пов'язаних з роботою АРМ-СЕП/АРМ-НБУ-інф або обслуговуванням приміщення.

Працівники організації мають право доступу до приміщення з АРМ-СЕП/АРМ-НБУ-інф для вирішення окремих питань на підставі усного розпорядження керівника організації (або особи, яка виконує його обов'язки) лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ-інф.

73. У разі зміни свого місцезнаходження або місцезнаходження АРМ-СЕП/АРМ-НБУ-інф організація зобов'язана повідомляти Департамент інформаційної безпеки про місця розташування АРМ-СЕП/АРМ-НБУ-інф протягом трьох робочих днів із часу настання цих змін.

Департамент інформаційної безпеки зобов'язаний організувати перевірку виконання вимог до приміщень протягом п'яти робочих днів із дня надходження цього повідомлення зі складанням відповідної довідки.

74. Організація зобов'язана розмістити робоче місце адміністратора інформаційної безпеки в окремому приміщенні з обмеженим доступом та обладнати його сейфом для зберігання ЗЗІ, справ і журналу обліку адміністратора інформаційної безпеки тощо. Це приміщення повинно обладнуватися системою охоронної сигналізації з одним рубежем захисту та в неробочий час опечатуватися.

75. Робоче місце адміністратора інформаційної безпеки повинно бути обладнане комп'ютером, не підключеним до локальної мережі організації, для копіювання носіїв ТК і генерування ключів відповідальними особами.

76. Забороняється розміщувати АРМ-СЕП, АРМ бухгалтера САБ та робоче місце адміністратора інформаційної безпеки в одному приміщенні (у будь-яких комбінаціях).

77. Організація зобов'язана розмістити робочі місця САБ, на яких використовуються ЗЗІ, у приміщеннях з обмеженим доступом, та в разі використання незахищених носіїв ТК обладнати робочі місця окремими або багатосекційними сейфами чи багатосекційними металевими шафами з засобами опечатування для зберігання ТК.

Сейф з кодовим замком також має обладнуватися місцем для опечатування, що дасть змогу виявляти спроби його несанкціонованого відкривання.

78. Організація зобов'язана забезпечити надійне кріплення сейфа для зберігання ЗЗІ, який має вагу менше ніж 100 кг і хоча б один з габаритів якого менший ніж 500 мм, до підлоги, стіни тощо.

79. Організація зобов'язана здійснити заміну відповідного замка або сейфа і провести службове розслідування в разі втрати ключів від сейфів (металевих шаф), у яких зберігаються ЗЗІ.

Адміністратор інформаційної безпеки зобов'язаний зберігати матеріали розслідування в справі адміністратора інформаційної безпеки.

80. Керівник організації відповідає за виконання вимог до приміщень.

Розділ I. Перелік відповідальних за роботу із засобами захисту інформації Національного банку України осіб:

Розділ II. Перелік засобів захисту інформації Національного банку України:

Примітка.

у колонці 6 за потреби робляться короткі робочі записи про факти втрати контролю за засобами захисту інформації тощо.

Розділ III. Перелік таємних ключів, що генерувалися в організації відповідальними особами:

Розділ IV. Перелік осіб, які мають допуск до приміщення з АРМ-СЕП/АРМ-НБУ-інф:

Розділ V. Перелік ключів від сейфів (металевих шаф) відповідальних осіб, у яких зберігаються засоби захисту інформації Національного банку України:

Розділ VI. Перелік особистих печаток (штампів, пломбіраторів) відповідальних осіб для опечатування засобів захисту інформації Національного банку України:

Розділ VII. Облік приймання-передавання засобів захисту інформації Національного банку України, за які несе відповідальність адміністратор інформаційної безпеки:

Примітка.

Відмітки про приймання-передавання засобів захисту інформації Національного банку України робляться щодня в разі двозмінної роботи адміністратора інформаційної безпеки або у зв'язку з відсутністю основного адміністратора інформаційної безпеки - відпустка, навчання, хвороба тощо.

Розділ VIII. Облік приймання-передавання таємних ключів відповідальних осіб, що зберігаються в адміністратора інформаційної безпеки організації:

Примітки:

не враховуються таємні ключі тих операторів робочих і технологічних місць САБ, які зберігають власні таємні ключі в особистих сейфах;

якщо оператор (операціоніст) не отримав власного таємного ключа для роботи, то в колонках 3 і 4 ставиться прочерк;

якщо строк дії таємного ключа закінчився, то в колонках 5 і 6 робиться відмітка про це;

у разі потреби допускається ведення не загального обліку таємних ключів, а індивідуального - за кожною відповідальною особою;

допускається зберігання облікових форм у швидкозшивачах. У цьому разі швидкозшивач є додатком до журналу обліку.

Розділ IX. Облік перевірок дотримання правил використання і зберігання засобів захисту інформації Національного банку України, проведених адміністратором інформаційної безпеки організації:

__________

Примітки:

Д - суміщення обов'язків дозволено (не більше двох обов'язків одночасно);

В - суміщення можливе як виняток (не більше двох обов'язків одночасно) на час тимчасової відсутності відповідальної особи (хвороба, відпустка), яка виконує ці функції. Якщо суміщення викликано іншими причинами, то необхідно звернутися до Департаменту інформаційної безпеки Національного банку України для отримання відповідного дозволу на таке суміщення;

Х - суміщення обов'язків не дозволено.

Примітки:

Адміністратори АРМ-СЕП/АРМ-НБУ-інф вносять до журналу записи про всі переміщення і зміни засобів захисту інформації Національного банку України АРМ-СЕП/АРМ-НБУ-інф.

Адміністратори АРМ-СЕП мають право не відключати АКЗІ від комп'ютера під час передавання зміни та після закінчення роботи.

Примітка.

Відповідальні особи зобов'язані вносити до журналу записи про приймання-передавання таємних ключів щодня в разі їх двозмінної роботи або у зв'язку з відсутністю основної відповідальної особи - відпустка, навчання, хвороба тощо.

1. Це Положення розроблено відповідно до статей 7, 56 Закону України "Про Національний банк України" , статті 66 Закону України "Про банки і банківську діяльність" , Законів України "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України (далі - Національний банк) у сфері інформаційної безпеки.

2. У цьому Положенні терміни та скорочення вживаються в значеннях, визначених Законом України "Про електронні документи та електронний документообіг" , Положенням про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженим постановою Правління Національного банку від 26 листопада 2015 року № 829 (далі - Положення про захист), стандартами з управління інформаційною безпекою в банківській системі України, затвердженими постановою Правління Національного банку України від 28 жовтня 2010 року № 474, Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року № 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909 (зі змінами).

3. Це Положення регламентує порядок проведення планових та позапланових перевірок стану інформаційної безпеки в організаціях, які отримали ЗЗІ відповідно до Положення про захист.

4. Виїзні перевірки щодо дотримання організаціями вимог інформаційної безпеки здійснюються Департаментом інформаційної безпеки Національного банку (далі - Департамент інформаційної безпеки) відповідно до Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затверджених постановою Правління Національного банку від 26 листопада 2015 року № 829 (далі - Правила).

5. Департамент інформаційної безпеки здійснює аналіз стану інформаційної безпеки в організаціях з метою забезпечення безперервного, надійного та ефективного функціонування СЕП та інформаційних задач шляхом:

збору результатів внутрішніх перевірок та оцінювання стану інформаційної безпеки в організаціях;

оцінювання стану інформаційної безпеки в організаціях за результатами виїзних перевірок.

6. Департамент інформаційної безпеки має право вимагати від організацій надання інформації та документів для здійснення контролю за станом інформаційної безпеки шляхом направлення відповідного запиту.

7. Організація зобов'язана надавати Департаменту інформаційної безпеки повну та достовірну інформацію і документи та їх копії належної якості у встановлені строки у визначених порядку та форматі відповідно до Положення про захист та Правил.

8. Департамент інформаційної безпеки забезпечує нерозголошення інформації, отриманої ним під час контролю за станом інформаційної безпеки в організації, третім особам, за винятком випадків, передбачених законодавством України.

9. Працівник Департаменту інформаційної безпеки, який здійснює перевірку, зобов'язаний мати документи, що підтверджують його особу, і розпорядчий акт про проведення перевірки.

10. Перевірка здійснюється в присутності адміністратора інформаційної безпеки та/або посадової особи, призначеної керівником організації.

11. Працівник Департаменту інформаційної безпеки, який здійснює перевірку, має право:

1) перевіряти використання, облік і зберігання ЗЗІ адміністратором інформаційної безпеки, журнали, справи і документи з питань організації інформаційної безпеки;

2) відвідувати приміщення з АРМ-СЕП/АРМ-НБУ-інф, вивчати умови використання і зберігання ЗЗІ адміністраторами АРМ-СЕП/АРМ-НБУ-інф;

3) відвідувати робочі місця всіх відповідальних за роботу із ЗЗІ осіб (далі - відповідальні особи) в організації і вивчати умови використання та зберігання ними ЗЗІ;

4) перевіряти знання відповідальними особами нормативно-правових актів Національного банку, що регламентують забезпечення інформаційної безпеки, виконання ними рекомендацій Національного банку, їх уміння працювати із ЗЗІ;

5) ознайомлюватися з внутрішніми документами, актами, журналами діяльності автоматизованих програмно-апаратних систем та іншими документами організації, що дають змогу проконтролювати виконання вимог щодо інформаційної безпеки.

12. Департамент інформаційної безпеки проводить планові (не рідше ніж один раз на два роки) і позапланові перевірки.

Підставами для проведення позапланових перевірок є включення організації в СЕП та/або інформаційні задачі, перехід на роботу з однієї моделі обслуговування консолідованого кореспондентського рахунку на іншу, зміна місцезнаходження організації, усунення недоліків, виявлених під час попередньої перевірки.

13. За результатами перевірки складається довідка про результати перевірки стану інформаційної безпеки в організації у двох примірниках. Один примірник цієї довідки зберігається в Департаменті інформаційної безпеки, другий - в організації.

14. У разі виявлення недоліків (порушень) організація зобов'язана повідомити Департамент інформаційної безпеки в установлений термін про вжиття заходів щодо їх усунення.

15. Департамент інформаційної безпеки зобов'язаний перевірити готовність організації до включення в СЕП та інформаційні задачі після вжиття організацією необхідних первинних заходів щодо організації захисту електронної банківської інформації відповідно до вимог, що визначаються Правилами.

16. Підставою для перевірки є відповідний розпорядчий акт Департаменту інформаційної безпеки.

17. Під час перевірки розглядаються такі питання:

1) наявність технічних можливостей для організації робочих місць відповідальних осіб згідно з розділом VIII Правил;

2) відповідність приміщення з АРМ-СЕП/АРМ-НБУ-інф, з робочим місцем адміністратора інформаційної безпеки, інших приміщень, де використовуватимуться ЗЗІ, вимогам розділу VIII Правил;

3) наявність відповідальних осіб, внутрішнього документа організації про їх призначення і підписаних ними зобов'язань згідно з розділом II Правил;

4) наявність копій нормативно-правових актів Національного банку щодо забезпечення інформаційної безпеки під час роботи із ЗЗІ відповідно до розділу VII Правил;

5) перевірка знань нормативно-правових актів, що регламентують порядок забезпечення інформаційної безпеки під час роботи із ЗЗІ, відповідно до розділу III Правил.

18. За результатами перевірки складається відповідна довідка.

За наявності недоліків, що можуть впливати на безпеку електронних банківських документів, складається довідка із зазначенням виявлених недоліків (зауважень, порушень) та строків їх усунення.