Про затвердження нормативно-правових актів з питань інформаційної безпеки

Відповідно до статей 7, 56 Закону України "Про Національний банк України" , з метою врегулювання взаємовідносин між Національним банком України і банками України, їх філіями, державними, небанківськими установами, які використовують засоби захисту інформації Національного банку України, у зв'язку з унормуванням централізованого порядку укладання та ведення договорів щодо забезпечення засобами захисту інформації Національного банку України Правління Національного банку України

1. Затвердити:

1) Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, що додається;

2) Правила організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, що додаються;

3) Положення про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України, що додається.

2. Визнати такими, що втратили чинність:

постанову Правління Національного банку України від 02 квітня 2007 року № 112 "Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України", зареєстровану в Міністерстві юстиції України 24 квітня 2007 року за № 419/13686;

підпункт 2 пункту 1 постанови Правління Національного банку України від 07 липня 2015 року № 439 "Про внесення змін до деяких нормативно-правових актів Національного банку України".

3. Департаменту інформаційної безпеки (Лук'янов Д.О.) довести зміст цієї постанови до відома Центральної розрахункової палати Національного банку України, банків України, їх філій, органів Державної казначейської служби України, інших органів державної влади, небанківських установ, які використовують засоби захисту інформації Національного банку України, для використання в роботі.

4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Смолія Я.В.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблено відповідно до статей 7, 56 Закону України "Про Національний банк України" , статті 66 Закону України "Про банки і банківську діяльність" , Законів України "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України (далі - Національний банк) у сфері інформаційної безпеки.

2. У тексті Положення терміни та скорочення вживаються в такому значенні:

1) адміністратор інформаційної безпеки - фахівець з питань інформаційної безпеки, призначений внутрішнім документом організації для забезпечення впровадження та підтримки роботи засобів захисту інформації Національного банку в цій організації;

2) АКЗІ - апаратура криптографічного захисту інформації, яка є власністю Національного банку;

3) АРМ бухгалтера САБ - автоматизоване робоче місце системи автоматизації банку, на якому здійснюється формування файлів/онлайнових пакетів, які містять початкові платежі системи електронних платежів Національного банку;

4) АРМ-НБУ-інф - програмне забезпечення "Автоматизоване робоче місце обміну неплатіжною інформацією" Національного банку, призначене для обміну інформацією між системою автоматизації банку та інформаційними задачами;

5) ВК - відкритий ключ;

6) ЕЦП - електронний цифровий підпис;

7) ЗЗІ - засоби захисту інформації Національного банку, які використовуються в системі електронних платежів Національного банку та інформаційних задачах;

8) інформаційні задачі - програмно-технічні комплекси автоматизації банківської діяльності, які забезпечують оброблення та передавання інформації, що не належить до платіжної та технологічної інформації системи електронних платежів Національного банку, з використанням засобів захисту інформації Національного банку між банківськими та іншими установами і Національним банком;

9) криптобібліотеки - бібліотеки криптографічних функцій - накладання та перевірки електронного цифрового підпису, шифрування та дешифрування інформації;

10) організація - банківська або інша установа, яка є безпосереднім учасником системи електронних платежів Національного банку та/або інформаційних задач і використовує засоби захисту інформації Національного банку;

11) організація-замовник - банківська або інша установа, яка приєднується до Єдиного договору банківського обслуговування та надання інших послуг Національним банком України (далі - Єдиний договір) для отримання послуг Національного банку України із надання в користування засобів захисту інформації Національного банку;

12) ПМГК - програмний або програмно-апаратний модуль генерації ключів криптографічного захисту інформації, який є власністю Національного банку;

13) САБ - система автоматизації банку;

14) система захисту інформації - сукупність методів і засобів, що включає апаратно-програмні, програмні засоби захисту інформації Національного банку, ключову інформацію та систему розподілу ключової інформації, технологічні засоби контролю та організаційні заходи, які забезпечують захист електронних банківських документів;

15) СЕП - система електронних платежів Національного банку;

16) СК - смарт-картка;

17) сувора автентифікація - ідентифікація кожного користувача за ознакою володіння своїм секретним ключем;

18) ТВК - таблиця відкритих ключів;

19) ТК - таємний ключ.

Інші терміни та скорочення, що вживаються в цьому Положенні, використовуються в значеннях, визначених Законом України "Про електронні документи та електронний документообіг" , стандартами з управління інформаційною безпекою в банківській системі України, затвердженими постановою Правління Національного банку України від 28 жовтня 2010 року № 474, Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року № 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909 (зі змінами).

3. Це Положення визначає принципи побудови системи захисту інформації та порядок отримання і повернення ЗЗІ організаціями.

4. Безпосередні учасники СЕП отримують ЗЗІ для використання в СЕП та інформаційних задачах незалежно від моделі обслуговування консолідованого кореспондентського рахунку банку в СЕП. Опосередковані учасники СЕП та організації, які не є учасниками СЕП, отримують ЗЗІ для використання їх в інформаційних задачах Національного банку.

Організації взаємодіють за всіма поточними питаннями роботи із ЗЗІ з Департаментом безпеки Національного банку (далі - Департамент безпеки).

5. Організації, які використовують ЗЗІ, зобов'язані виконувати організаційні заходи інформаційної безпеки щодо використання, зберігання, обліку ЗЗІ згідно з Правилами організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженими постановою Правління Національного банку від 26 листопада 2015 року № 829 (далі - Правила).

6. Департамент безпеки здійснює перевірку дотримання вимог Правил в організаціях відповідно до Положення про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України, затвердженого постановою Правління Національного банку від 26 листопада 2015 року № 829 (далі - Положення про порядок перевірки).

7. Організація зобов'язана узгоджувати з Департаментом безпеки питання, які можуть виникати під час роботи із ЗЗІ і які не передбачені Правилами.

8. Керівник організації забезпечує дотримання вимог щодо інформаційної безпеки в ній, визначених цим Положенням.

9. Система захисту інформації створена для забезпечення конфіденційності та цілісності інформації в електронній формі на будь-якому етапі її оброблення, а також суворої автентифікації учасників СЕП, учасників інформаційних задач і фахівців організацій, які беруть участь у підготовці й обробленні електронних документів.

10. Для забезпечення цілісності інформації, суворої автентифікації та безперервного захисту електронних банківських документів з часу їх формування система захисту інформації використовує механізми формування (перевірки) ЕЦП на базі асиметричних алгоритмів RSA та Національного стандарту України ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих", затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002).

11. Організація для забезпечення захисту інформації зобов'язана мати трибайтний унікальний ідентифікатор (далі - унікальний ідентифікатор).

12. Організація забезпечує захист електронних банківських документів, шифрування/дешифрування і накладання/перевірку ЕЦП за допомогою таких криптографічних ЗЗІ:

1) апаратно-програмних ЗЗІ, до складу яких входять АКЗІ, СК, програмне забезпечення керування АКЗІ, що вбудоване в АРМ-СЕП і не може бути вилучене або використане окремо, з відповідними ТВК та криптобібліотеками;

2) програмних ЗЗІ, до складу яких входять програмний модуль для шифрування, вбудований в АРМ-СЕП, ПМГК з незаповненими ТВК, носіїв ТК, відповідними ТВК та криптобібліотеками.

13. Національний банк забезпечує побудову ключової системи криптографічного захисту для СЕП та інформаційних задач. Ця система складається з ключів програмних ЗЗІ, що генеруються в організаціях за допомогою наданих ПМГК, і ключів апаратних ЗЗІ, які генеруються безпосередньо АРМ-СЕП за допомогою АКЗІ.

14. Основними ЗЗІ в АРМ-СЕП є АКЗІ.

Адміністратор АРМ-СЕП здійснює генерацію ключової пари (ТК та ВК) для АКЗІ на комп'ютері, де розміщується АРМ-СЕП, за допомогою програмного забезпечення керування АКЗІ, що вбудоване в АРМ-СЕП. Генерація здійснюється відповідно до алгоритму, визначеного в національному стандарті України ДСТУ 4145-2002. Для забезпечення безперебійної роботи АРМ-СЕП з апаратурою захисту адміністратор АРМ-СЕП повинен записувати ТК на дві СК (основну та резервну). Ключова інформація під час роботи АКЗІ використовується виключно на рівні АКЗІ, що унеможливлює підроблення та перехоплення ключової інформації.

У разі виходу з ладу АКЗІ адміністратор АРМ-СЕП здійснює перехід до роботи з програмними ЗЗІ.

15. За допомогою ПМГК організація має право генерувати ключову пару (ТК та ВК) відповідно до асиметричних алгоритмів RSA та ДСТУ 4145-2002 для всіх робочих місць, де працюють з електронними банківськими документами. Кожен ТК робочого місця захищений особистим паролем відповідальної особи, яка працює з цим ключем.

Для забезпечення захисту ключової інформації від несанкціонованої модифікації адміністратор інформаційної безпеки надсилає ВК до Департаменту безпеки для сертифікації (крім ВК для робочих місць операціоністів, що використовуються лише в САБ).

Департамент безпеки здійснює сертифікацію ВК та надсилає засобами системи електронної пошти Національного банку на адресу організації відповідні сертифікати ВК. Організація вживає заходів щодо своєчасного оновлення ТВК відповідно до експлуатаційної документації для АРМ-СЕП, АРМ-НБУ-інф, САБ та інформаційних задач.

16. Департамент безпеки надає криптобібліотеки безкоштовно всім організаціям, які використовують ЗЗІ, для вбудовування в програмне забезпечення САБ або інше відповідне програмне забезпечення.

17. В організації використовуються такі ЗЗІ:

18. Центральна розрахункова палата Національного банку надає консультації щодо супроводження АРМ-СЕП/АРМ-НБУ-інф, а також технологічного процесу проходження електронних платежів у СЕП та електронних документів в інформаційних задачах.

19. Умовами для отримання ЗЗІ є:

1) приєднання організації-замовника до Єдиного договору для отримання таких видів послуг Національного банку:

розрахунково-інформаційного обслуговування в системі електронних платежів Національного банку (для учасників СЕП);

системою електронної пошти Національного банку (далі - система ЕП);

із надання в користування засобів захисту інформації Національного банку, крім випадків, якщо організацією-замовником є установи Державної казначейської служби України, Державна служба фінансового моніторингу України, Державна фіскальна служба України, Національне антикорупційне бюро України, Державна установа "Офіс адміністрування проектів міжнародного фінансового співробітництва", Державна іпотечна установа, Фонд гарантування вкладів фізичних осіб, Центральна виборча комісія (далі - державні установи). Для державних установ - укладення договору про використання засобів захисту інформації Національного банку між організацією-замовником та Національним банком та підключення до системи ЕП;

2) забезпечення відповідності приміщень, у яких будуть оброблятися електронні банківські документи, використовуються та зберігаються ЗЗІ, вимогам, визначеним Правилами;

3) призначення посадових осіб, відповідальних за зберігання та використання ЗЗІ;

4) лист-доручення (довіреність) про отримання конкретних ЗЗІ особі, відповідальній за отримання ЗЗІ для організації.

19-1. Організація подає до Департаменту безпеки лист про готовність до включення в СЕП та/або інформаційні задачі Національного банку та наказ про призначення посадових осіб, відповідальних за зберігання та використання ЗЗІ.

20. Департамент безпеки проводить перевірку готовності організації-замовника, її філій до включення в СЕП та інформаційні задачі відповідно до розділу III Положення про порядок перевірки.

21. Приєднання організації-замовника, крім державних установ, до Єдиного договору здійснюється відповідно до Публічної пропозиції Національного банку України на укладення Єдиного договору банківського обслуговування та надання інших послуг Національним банком України, розміщеної на сторінці офіційного Інтернет-представництва Національного банку. Державні установи та Національний банк укладають між собою договір про використання засобів захисту інформації Національного банку України відповідно до зразка, наведеного в додатку 1 до цього Положення.

Організація зобов'язана внести зміни до додатка 1 до Заяви про приєднання до Єдиного договору/договору в разі зміни адреси розташування ЗЗІ.

22. Департамент безпеки в разі відсутності недоліків за результатами перевірки готовності включення організації в СЕП та/або інформаційні задачі виготовляє та надає ЗЗІ організації.";

23. Відповідальна за отримання ЗЗІ особа організації зобов'язана прибути до Національного банку з документом, який засвідчує особу, та листом-дорученням або довіреністю, які надають право на отримання/заміну ЗЗІ, для отримання ЗЗІ з оформленням акта про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 2).

24. Департамент безпеки разом з документом на отримання/заміну ЗЗІ зберігає один примірник, а організація - другий примірник акта про приймання-передавання засобів захисту інформації Національного банку, за яким АКЗІ, смарт-картки та програмно-апаратний модуль генерації ключів криптографічного захисту інформації передаються в організацію. У разі використання ПМГК на гнучкому магнітному диску Департамент безпеки зберігає копію супровідного листа, а організація - супровідний лист, згідно з яким цей ПМГК передається в організацію.

Департамент інформаційних технологій Національного банку постачає криптобібліотеки, необхідні для роботи АРМ-СЕП і АРМ-НБУ-інф, разом з цими АРМ, у тому числі в разі їх оновлень - разом з оновленнями програмного забезпечення цих АРМ. Криптобібліотеки та програмний модуль криптографічного захисту інформації, вбудований в АРМ-СЕП, обліку і поверненню не підлягають.

Криптобібліотеки, призначені для вбудування в САБ або інше програмне забезпечення, постачаються за окремим листом Департаменту безпеки або за запитом від організації.

25. Для завершення підготовки до включення в СЕП організація зобов'язана виконати генерацію ключів для АРМ-СЕП та отримати їх сертифікати за один робочий день до включення до Довідника учасників СЕП.

26. Організація, яка отримала ЗЗІ, не має права:

передавати їх третім особам, установам чи організаціям, а також іншим установам однієї юридичної особи;

використовувати їх за іншим місцезнаходженням, ніж це зазначено в додатку 1 до Заяви про приєднання до Єдиного договору/договорі;

використовувати їх в інших платіжних системах банків, у територіально відокремлених відділеннях (філіях) банків.

27. Організація зобов'язана повернути ЗЗІ до Департаменту безпеки в разі:

1) ліквідації;

2) припинення роботи із ЗЗІ, а саме:

виключення з учасників СЕП та/або інформаційних задач Національного банку;

переходу на роботу з однієї моделі обслуговування консолідованого кореспондентського рахунку банку на іншу;

3) виходу з ладу ЗЗІ;

4) на вимогу Департаменту безпеки в разі виявлення суттєвих порушень в організації захисту електронних банківських документів.

28. Організація зобов'язана повернути АКЗІ разом із СК та/або програмно-апаратний модуль генерації ключів до Департаменту безпеки в разі виходу АКЗІ та/або програмно-апаратного модуля генерації ключів з ладу або отримання від Департаменту безпеки листа з вимогою повернення ЗЗІ протягом трьох робочих днів з укладенням акта про приймання-передавання засобів захисту інформації Національного банку, один примірник якого зберігає Департамент безпеки, другий - організація.

29. Організація у випадках, передбачених підпунктами 1 і 2 пункту 27, зобов'язана:

1) повідомити Департамент безпеки про передбачувані строки і порядок виключення з учасників СЕП, переходу на іншу модель обслуговування консолідованого кореспондентського рахунку банку або зміни місцезнаходження, погодити перелік ЗЗІ, що підлягають поверненню до Департаменту безпеки;

2) ужити заходів щодо повернення до Департаменту безпеки, знищення на місці і передавання до архіву організації ЗЗІ, справ, журналів обліку зі складанням відповідного акта (додаток 3);

3) повернути до Департаменту безпеки ЗЗІ з актом, зазначеним у підпункті 2 цього пункту, один примірник якого зберігає Департамент безпеки, другий - організація.

30. Організація, яка використовує ЗЗІ, зобов'язана виконувати організаційні вимоги щодо їх отримання, використання та зберігання і своєчасної заміни відповідних ключів до них.

Департамент безпеки має право вилучати з організації ЗЗІ в разі невиконання вимог щодо використання та зберігання ЗЗІ і вимог до приміщень.

31. Технологічні засоби контролю, вбудовані в програмно-технічні комплекси СЕП, не можуть бути відключені. У разі виявлення нестандартної ситуації, яка може свідчити про підозру щодо несанкціонованого доступу до СЕП від імені певного учасника СЕП, ЦОСЕП автоматично припиняє приймання початкових електронних розрахункових документів та повідомлень від цього учасника.

32. Основним засобом шифрування файлів (пакетів) СЕП є АКЗІ. Робота АКЗІ контролюється вбудованими в ЦОСЕП і АРМ-СЕП програмними ЗЗІ і забезпечує апаратне шифрування (розшифрування) інформації за алгоритмом, визначеним у національному стандарті України ДСТУ ГОСТ 28147:2009.

Як резервний засіб шифрування в СЕП використовується вбудована в ЦОСЕП і АРМ-СЕП функція програмного шифрування.

33. Засоби шифрування ЦОСЕП і АРМ-СЕП (як АКЗІ, так і програмне шифрування) забезпечують сувору автентифікацію відправника та отримувача електронного банківського документа, цілісність кожного документа в результаті неможливості його підроблення або несанкціонованого модифікування в шифрованому вигляді.

АРМ-СЕП і ЦОСЕП у режимі реального часу забезпечують додаткову сувору взаємну автентифікацію під час установлення сеансу зв'язку.

Під час роботи АРМ-СЕП створює журнали програмного та апаратного шифрування і захищений від модифікації протокол роботи АРМ-СЕП, у якому фіксуються всі дії, що ним виконуються, із зазначенням дати та часу оброблення електронних банківських документів. Наприкінці банківського дня журнали програмного та апаратного шифрування і протокол роботи АРМ-СЕП підлягають обов'язковому збереженню в архіві.

34. Департамент безпеки надає банкам (філіям) інформаційні послуги щодо достовірності інформації за електронними банківськими документами в разі виникнення спорів на основі копії архіву роботи АРМ-СЕП за відповідний банківський день.

Департамент безпеки розшифровує копію цього архіву та визначає:

1) ідентифікатор банку - учасника СЕП, який надіслав (зашифрував) електронний банківський документ;

2) ідентифікатор банку - учасника СЕП, якому адресовано електронний банківський документ;

3) дату, годину та хвилину виконання шифрування електронного банківського документа;

4) дату, годину та хвилину розшифрування електронного банківського документа;

5) відповідність усіх електронних цифрових підписів, якими був захищений від модифікації електронний банківський документ.

Під час використання АКЗІ додатково визначаються:

1) номер АКЗІ, на якій виконувалося шифрування або розшифрування електронного банківського документа;

2) номер СК, якою користувалися під час шифрування або розшифрування електронного банківського документа.

35. Департамент безпеки надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо між учасниками СЕП виникли спори з питань, пов'язаних з електронними банківськими документами, у разі:

1) невиконання автентифікації або розшифрування електронного банківського документа;

2) відмови від факту одержання електронного банківського документа;

3) відмови від факту формування та надсилання електронного банківського документа;

4) ствердження, що одержувачу надійшов електронний банківський документ, а насправді він не надсилався;

5) ствердження, що електронний банківський документ був сформований та надісланий, а він не формувався або було надіслане інше повідомлення;

6) виникнення спору щодо змісту одного й того самого електронного банківського документа, сформованого та надісланого відправником і одержаного та правильно автентифікованого одержувачем;

7) роботи з архівом роботи АРМ-СЕП під час проведення ревізій тощо.

Департамент безпеки надає учасникам СЕП письмові відповіді щодо порушених питань.

36. Організація зобов'язана інформувати Департамент безпеки впродовж одного робочого дня телефоном та протягом трьох робочих днів листом засобами системи ЕП в таких випадках:

1) виконання (спроби виконання) фіктивного платіжного документа;

2) компрометація ЗЗІ;

3) пошкодження ЗЗІ;

4) несанкціоноване проникнення в приміщення з АРМ-СЕП/АРМ-НБУ-інф (пошкодження вхідних дверей, ґрат на вікнах, спрацювання сигналізації за нез'ясованих обставин тощо);

5) проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, унаслідок якої створюються умови для компрометації ЗЗІ;

6) виникнення інших аварійних або надзвичайних ситуацій, що створюють передумови до розкрадання, втрати, пошкодження тощо ЗЗІ.

37. Внутрішній контроль за станом інформаційної безпеки відповідно до вимог нормативно-правових актів Національного банку в діяльності організації забезпечують:

керівник організації (особа, яка виконує його обов'язки);

заступник керівника організації або особа, яка за своїми службовими обов'язками чи за окремим внутрішнім документом організації призначена відповідальною особою за організацію інформаційної безпеки.

38. Адміністратор інформаційної безпеки забезпечує поточний контроль за дотриманням вимог інформаційної безпеки під час використання та зберігання ЗЗІ в організації.

39. Службові особи організації, які відповідають за інформаційну безпеку, зобов'язані надавати письмові або усні відомості про стан ЗЗІ та їх використання, стан захисту інформації в програмному забезпеченні САБ та інших системах, на які поширюються вимоги Національного банку щодо інформаційної безпеки, технологію оброблення електронних банківських документів в організації та систему захисту інформації під час їх оброблення на вимогу Департаменту безпеки.

1. Ці Правила розроблені відповідно до статей 7, 56 Закону України "Про Національний банк України" , статті 66 Закону України "Про банки і банківську діяльність" , Законів України "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України у сфері інформаційної безпеки.

2. У цих Правилах терміни та скорочення вживаються в такому значенні:

1) ГМД - гнучкий магнітний диск;

2) захищений носій ТК - носій таємного ключа, обладнаний вбудованими апаратними засобами криптозахисту (Touch Memory, токени тощо);

3) незахищений носій ТК - носій таємного ключа, необладнаний вбудованими засобами криптозахисту (ГМД, флеш-носії тощо);

4) носій ТК - носій таємного ключа (захищений або незахищений).

Інші терміни та скорочення, що вживаються в цих Правилах, використовуються в значеннях, визначених Законом України "Про електронні документи та електронний документообіг" , Положенням про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженим постановою Правління Національного банку України від 26 листопада 2015 року № 829 (далі - Положення про захист), стандартами з управління інформаційною безпекою в банківській системі України, затвердженими постановою Правління Національного банку України від 28 жовтня 2010 року № 474, Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року № 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909 (із змінами).

3. Ці Правила регламентують порядок використання, зберігання, передавання та облік ЗЗІ організаціями, які отримали ці ЗЗІ відповідно до Положення про захист. Департамент інформаційної безпеки Національного банку України (далі - Департамент інформаційної безпеки) перевіряє виконання цих Правил в організаціях відповідно до Положення про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України, затвердженого постановою Правління Національного банку України від 26 листопада 2015 року № 829.

4. Організація зобов'язана призначити відповідальних за роботу із ЗЗІ осіб (далі - відповідальна особа) та осіб, які виконуватимуть обов'язки в разі відсутності відповідальних осіб, а саме:

1) адміністратора інформаційної безпеки;

2) адміністратора АРМ-СЕП/АРМ-НБУ-інф;

3) оператора АРМ бухгалтера САБ;

4) технолога САБ;

5) операціоніста САБ;

6) операторів робочих і технологічних місць САБ та інформаційних задач.

Адміністратор інформаційної безпеки реєструє відповідальних осіб у розділі I журналу обліку адміністратора інформаційної безпеки (додаток 1).

Призначення відповідальних осіб в АРМ-СЕП та САБ стосується тільки безпосередніх учасників СЕП.

5. Організація зобов'язана подавати до Департаменту інформаційної безпеки копію документа або виписку з нього в електронній або паперовій формі:

1) про призначення відповідальних осіб протягом трьох робочих днів з часу їх призначення;

2) про покладання обов'язків/звільнення від виконання відповідних обов'язків в організації, зокрема покладання інших обов'язків, адміністраторів інформаційної безпеки, адміністраторів АРМ-СЕП/АРМ-НБУ-інф і операторів АРМ бухгалтера САБ протягом трьох робочих днів із часу їх призначення/звільнення.

6. Адміністратор інформаційної безпеки зобов'язаний ознайомитися з нормативно-правовими актами Національного банку України (далі - Національний банк) з питань інформаційної безпеки та підписати зобов'язання адміністратора інформаційної безпеки (додаток 2).

Представник Департаменту інформаційної безпеки зобов'язаний перевірити знання адміністратором інформаційної безпеки своїх функціональних обов'язків та відповідних нормативно-правових актів Національного банку, зробити на зобов'язанні відмітку про проведення цієї перевірки і зберігати копію цього зобов'язання.

7. Адміністратор інформаційної безпеки має право дати дозвіл на роботу на АРМ-СЕП/АРМ-НБУ-інф, робочих і технологічних місцях САБ та інформаційних задач відповідальним особам після їх ознайомлення з нормативно-правовими актами Національного банку, іншими документами з питань інформаційної безпеки.

Адміністратор інформаційної безпеки зобов'язаний ознайомити відповідальних осіб з правилами роботи та зберігання ТК.

Відповідальна особа зобов'язана підписати відповідне зобов'язання (додаток 3).

8. Департамент інформаційної безпеки має право звернутися до керівника організації з пропозицією призначити нового адміністратора інформаційної безпеки в разі неналежного виконання ним своїх обов'язків.

9. Організація зобов'язана забезпечити відповідальних осіб особистими печатками (штампами, пломбіраторами тощо) для опечатування ЗЗІ, сейфів (для зберігання незахищених носіїв ТК) і приміщення з АРМ-СЕП/АРМ-НБУ-інф.

Адміністратор інформаційної безпеки зобов'язаний зареєструвати печатки (штампи, пломбіратори) у розділі VI журналу обліку адміністратора інформаційної безпеки (додаток 1).

Відповідальні особи не мають права передавати один одному печатки (штампи, пломбіратори) для тимчасового користування.

10. Організація забезпечує підбір відповідальних осіб для роботи із ЗЗІ згідно з таблицею суміщення функціональних обов'язків (додаток 4).

11. Адміністратор інформаційної безпеки зобов'язаний:

1) знати нормативно-правові акти Національного банку з питань інформаційної безпеки і використовувати їх у роботі;

2) виконувати вимоги щодо інформаційної безпеки в організації та підписати зобов'язання адміністратора інформаційної безпеки;

3) забезпечувати конфіденційність системи захисту інформації в організації;

4) отримувати ЗЗІ і проводити їх заміну в територіальному управлінні Національного банку;

5) здійснювати тестування ПМГК та брати участь у тестуванні інших ЗЗІ;

6) здійснювати листування з Департаментом інформаційної безпеки з питань інформаційної безпеки;

7) ознайомлювати відповідальних осіб організації з нормативно-правовими актами Національного банку з питань інформаційної безпеки та перевіряти знання правил використання і зберігання ТК й інших ЗЗІ;

8) забезпечувати відповідальних осіб ЗЗІ;

9) вести облік ЗЗІ і здійснювати контроль за їх прийманням-передаванням;

10) вести справу адміністратора інформаційної безпеки і забезпечувати її збереження;

11) надавати допомогу відповідальним особам в генерації ТК;

12) забезпечувати належне зберігання ЗЗІ, їх передавання іншому адміністратору інформаційної безпеки в разі двозмінної роботи або у зв'язку з тимчасовою відсутністю на роботі - відпусткою, навчанням, хворобою тощо;

13) забезпечувати відправлення на сертифікацію ВК, що потребують сертифікації;

14) вести архів ВК операціоністів;

15) здійснювати копіювання ПМГК та знищення копій ПМГК у встановленому порядку;

16) здійснювати контроль за дотриманням відповідальними особами правил інформаційної безпеки під час роботи із ЗЗІ та їх зберігання;

17) здійснювати контроль за своєчасною заміною ТК відповідальними особами;

18) здійснювати контроль за змінами ТВК у разі необхідності;

19) здійснювати контроль за правильним і своєчасним знищенням відповідальними особами ТК та їх копій;

20) забезпечувати вилучення відповідного ВК з ТВК шляхом генерації ТК на видалення в разі звільнення від обов'язків відповідальних осіб або компрометації ТК;

21) виконувати заміну криптобібліотек і ТВК у САБ та інформаційних задачах, якщо Національний банк ініціює їх заміну;

22) здійснювати перевірки відповідності приміщень з АРМ-СЕП/АРМ-НБУ-інф і сейфів, у яких зберігаються ЗЗІ, вимогам інформаційної безпеки;

23) знати експлуатаційну документацію на АРМ-СЕП/АРМ-НБУ-інф з питань роботи системи захисту інформації;

24) виконувати налаштування операційної системи комп'ютера з АРМ-СЕП/АРМ-НБУ-інф відповідно до вимог та рекомендацій Національного банку щодо усунення вразливостей операційної системи;

25) не рідше одного разу на квартал проводити планові перевірки використання ЗЗІ відповідальними особами організації;

26) під час перевірки звертати увагу на наявність ЗЗІ, ключів від сейфів, у яких зберігаються ЗЗІ, облікових даних, дотримання вимог інформаційної безпеки під час зберігання та використання ЗЗІ, обмеження доступу до приміщення з АРМ-СЕП/АРМ-НБУ-інф, знання відповідальними особами нормативно-правових актів Національного банку з питань інформаційної безпеки, правильне і своєчасне заповнення журналів обліку;

27) після закінчення перевірки зробити відповідні записи в розділі IX журналу обліку адміністратора інформаційної безпеки (додаток 1);

28) інформувати керівника організації і Департамент інформаційної безпеки про виявлені недоліки, що можуть загрожувати безпеці електронної банківської інформації;

29) брати участь (за письмовим або усним розпорядженням керівника організації) у розгляді фактів порушення правил інформаційної безпеки в організації.

12. Адміністратор АРМ-СЕП/АРМ-НБУ-інф організації зобов'язаний:

1) знати нормативно-правові акти Національного банку з питань інформаційної безпеки, що стосуються його функцій, і використовувати їх у роботі;

2) забезпечувати конфіденційність системи захисту інформації в організації;

3) знати експлуатаційну документацію на АРМ-СЕП/АРМ-НБУ-інф і вимоги та рекомендації Національного банку щодо усунення вразливостей операційної системи комп'ютера з АРМ-СЕП/АРМ-НБУ-інф;

4) установлювати АКЗІ та драйвери до нього і забезпечувати постійне її підключення до комп'ютера, на якому функціонує АРМ-СЕП;

5) забезпечувати технологічну дисципліну під час роботи АРМ-СЕП/АРМ-НБУ-інф;

6) здійснювати генерацію ключів АРМ-СЕП/АРМ-НБУ-інф та контроль за строком їх дії;

7) зберігати ТК до АРМ-СЕП/АРМ-НБУ-інф (за необхідності - їх копії), АКЗІ та СК для АРМ-СЕП;

8) уносити необхідні зміни до ТВК АРМ-СЕП/АРМ-НБУ-інф за допомогою АРМ-СЕП/АРМ-НБУ-інф;

9) знищувати в установленому порядку ТК АРМ-СЕП/АРМ-НБУ-інф та їх копії;

10) дотримуватися режиму допуску до приміщення з АРМ-СЕП/АРМ-НБУ-інф;

11) здавати під охорону і знімати з охорони приміщення з АРМ-СЕП/АРМ-НБУ-інф;

12) вести журнал приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ-інф (додаток 5);

13) інформувати адміністратора інформаційної безпеки про виявлення недоліків, що можуть призвести до компрометації ЗЗІ або несанкціонованого їх використання;

14) брати участь (за розпорядженням керівника організації) у розгляді фактів порушення правил інформаційної безпеки під час роботи АРМ-СЕП/АРМ-НБУ-інф.

13. Оператори АРМ бухгалтера САБ, операціоністи та оператори інших робочих і технологічних місць САБ та інформаційних задач, які працюють із ЗЗІ, зобов'язані:

1) знати нормативно-правові акти Національного банку з питань інформаційної безпеки, що стосуються їх функцій, і використовувати їх у роботі;

2) забезпечувати конфіденційність відомостей про систему захисту інформації в організації;

3) забезпечувати технологічну дисципліну в роботі з програмним забезпеченням робочого місця;

4) виконувати правила використання і зберігання ЗЗІ;

5) здійснювати генерацію власних ключів;

6) здійснювати контроль за строком дії ключів і своєчасну генерацію (з урахуванням часу на сертифікацію) нових ключів;

7) зберігати власний ТК (за необхідності - його копію), у разі використання незахищеного носія ТК - в особистому сейфі (за його наявності);

8) у разі використання незахищеного носія ТК передавати в установленому порядку на зберігання (якщо немає особистого сейфа) власний ТК (і його копію) адміністратору інформаційної безпеки;

9) забезпечувати схоронність ЗЗІ під час їх використання;

10) знищувати в установленому порядку власні ТК (і їх копії);

11) вести журнал приймання-передавання таємних ключів робочих і технологічних місць (додаток 6) у разі передавання ТК робочого місця іншій відповідальній особі;

12) інформувати адміністратора інформаційної безпеки про виявлення недоліків, що можуть призвести до компрометації ЗЗІ або несанкціонованого їх використання;

13) брати участь (за письмовим або усним розпорядженням керівника організації) у розгляді фактів порушення правил інформаційної безпеки під час роботи САБ та інформаційних задач.

14. Організація зобов'язана дотримуватися такого порядку допуску відповідальних осіб до ЗЗІ:

1) допуск до ПМГК для роботи з ним мають лише адміністратори інформаційної безпеки;

2) допуск до роботи з АКЗІ, СК, ТК АРМ-СЕП/АРМ-НБУ-інф мають тільки адміністратори АРМ-СЕП/АРМ-НБУ-інф;

3) допуск до ТК робочих і технологічних місць САБ та інформаційних задач має відповідальна особа і тільки до власного ТК;