Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України

виконувати вимоги щодо інформаційної безпеки в організації та підписати зобов'язання адміністратора захисту інформації;

забезпечувати конфіденційність системи захисту інформації в організації;

отримувати засоби захисту і проводити їх заміну в територіальному управлінні/Центральній розрахунковій палаті Національного банку;

здійснювати тестування ПМГК та брати участь у тестуванні інших засобів захисту;

вести листування з територіальним управлінням/Центральною розрахунковою палатою Національного банку з питань інформаційної безпеки;

ознайомлювати відповідальних осіб організації з нормативно-правовими актами Національного банку з питань захисту інформації та перевіряти знання правил використання і зберігання ТК й інших засобів захисту;

забезпечувати відповідальних осіб засобами захисту;

вести облік засобів захисту і здійснювати контроль за їх прийманням-передаванням;

вести справи адміністратора захисту інформації і забезпечувати їх збереження;

забезпечувати генерацію ключів відповідальними особами;

зберігати ПМГК і його копії;

забезпечувати належне зберігання засобів захисту;

забезпечувати відправлення на сертифікацію ВК, що потребують сертифікації;

вести архів ВК операціоністів;

здійснювати знищення копій ПМГК у встановленому порядку;

здійснювати контроль за дотриманням відповідальними особами правил інформаційної безпеки під час роботи із засобами захисту та їх зберігання;

здійснювати контроль за своєчасною заміною ТК відповідальними особами;

здійснювати контроль за змінами ТВК;

здійснювати контроль за правильним і своєчасним знищенням відповідальними особами ТК та їх копій;

здійснювати перевірки відповідності приміщень з АРМ-СЕП/АРМ-НБУ і сейфів, у яких зберігаються засоби захисту, вимогам інформаційної безпеки;

здійснювати контроль за веденням журналів адміністратора АРМ-СЕП/АРМ-НБУ;

здійснювати контрольні перевірки відповідно до пункту 16.3 глави 16 цих Правил;

інформувати керівника організації і територіальне управління/Центральну розрахункову палату Національного банку про виявлені недоліки, що можуть загрожувати безпеці електронної банківської інформації;

брати участь (за письмовим або усним рішенням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

10.2. Адміністратор АРМ-СЕП/АРМ-НБУ організації зобов'язаний:

знати (у частині, що стосується його повноважень) нормативно-правові акти Національного банку з питань організації захисту електронної інформації і застосовувати їх у роботі;

забезпечувати конфіденційність системи захисту інформації;

забезпечувати технологічну дисципліну в роботі з програмно-апаратним комплексом АРМ-СЕП/АРМ-НБУ;

здійснювати генерацію ключів АРМ-СЕП/АРМ-НБУ;

здійснювати контроль за строком дії ключів АРМ-СЕП/АРМ-НБУ і своєчасну генерацію (з урахуванням часу на сертифікацію) нових ключів АРМ-СЕП/АРМ-НБУ;

здійснювати зберігання ТК АРМ-СЕП/АРМ-НБУ (за необхідності - їх копій), АКЗІ та СК для АРМ-СЕП;

забезпечувати зберігання засобів захисту під час їх перебування в адміністратора АРМ-СЕП/АРМ-НБУ;

уносити необхідні зміни до ТВК АРМ-СЕП/АРМ-НБУ;

знищувати в установленому порядку ТК АРМ-СЕП/АРМ-НБУ та їх копії;

здійснювати перевірки відповідності приміщення з АРМ-СЕП/АРМ-НБУ і сейфа адміністратора АРМ-СЕП/АРМ-НБУ вимогам інформаційної безпеки;

дотримуватися режиму допуску до приміщення з АРМ-СЕП/АРМ-НБУ;

здавати під охорону і знімати з охорони приміщення з АРМ-СЕП/АРМ-НБУ;

вести журнал адміністратора АРМ-СЕП/АРМ-НБУ;

інформувати адміністратора захисту інформації про виявлення недоліків, що можуть загрожувати безпеці електронних банківських документів;

брати участь (за рішенням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

10.3. Оператори АРМ бухгалтера САБ, операціоністи та оператори інших робочих і технологічних місць САБ та інформаційних задач, які працюють із засобами захисту, зобов'язані:

знати (у частині, що стосується їх повноважень) нормативно-правові акти Національного банку з питань організації захисту електронної інформації і застосовувати їх у роботі;

дотримуватися конфіденційності відомостей про систему захисту інформації організації;

забезпечувати технологічну дисципліну в роботі з програмним забезпеченням робочого місця;

виконувати правила використання і зберігання засобів захисту;

здійснювати генерацію власних ключів;

здійснювати контроль за строком дії ключів і своєчасною генерацією (з урахуванням часу на сертифікацію) нових ключів;

зберігати (за наявності особистого сейфа) власний ТК (за необхідності - його копію);

передавати в установленому порядку на зберігання (якщо немає особистого сейфа) власний ТК (і його копію) адміністратору захисту інформації;

забезпечувати схоронність засобів захисту під час їх використання;

здійснювати знищення в установленому порядку власних ТК (і їх копій);

вести журнал обліку оператора робочих і технологічних місць САБ у разі передавання ТК робочого місця іншій відповідальній особі;

інформувати адміністратора захисту інформації про виявлення недоліків, що загрожують безпеці електронної банківської інформації;

брати участь (за письмовим або усним рішенням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

10.4. Організація зобов'язана дотримуватися такого порядку допуску відповідальних осіб до засобів захисту:

допуск до ПМГК для роботи з ним мають лише адміністратори захисту інформації;

допуск до роботи з АКЗІ, СК, ТК АРМ-СЕП/АРМ-НБУ мають тільки адміністратори АРМ-СЕП/АРМ-НБУ;

допуск до ТК робочих і технологічних місць САБ та інформаційних задач має відповідальна особа і тільки до власного ТК;

відповідальні особи працюють з ПМГК лише в присутності адміністратора захисту інформації;

адміністратори захисту інформації виконують свої функціональні обов'язки і контрольні функції під час роботи з ТВК на АРМ-СЕП/АРМ-НБУ та інших робочих місцях лише в присутності відповідальних осіб.

11.1. Діловодство з питань захисту інформації електронних банківських документів в організації ведуть:

адміністратор захисту інформації;

адміністратор АРМ-СЕП/АРМ-НБУ.

11.2. Адміністратор захисту інформації зобов'язаний вести:

справу № 1 адміністратора захисту інформації;

справу № 2 адміністратора захисту інформації;

журнал обліку адміністратора захисту інформації (додаток 3).

11.3. Адміністратор захисту інформації зобов'язаний зберігати у справі № 1 адміністратора захисту інформації такі документи довгострокового користування:

а) нормативно-правові акти Національного банку, рекомендації територіального управління/Центральної розрахункової палати Національного банку з питань захисту інформації;

б) останній акт про перевірку територіальним управлінням/Центральною розрахунковою палатою Національного банку організації захисту електронної банківської інформації;

в) зобов'язання відповідальних за роботу із засобами захисту осіб (додатки 8, 9);

г) акт про приймання-передавання засобів захисту;

ґ) довідку з підписом керівника організації про дії відповідальних за роботу із засобами захисту осіб у разі виникнення надзвичайних ситуацій;

д) інші документи з питань захисту інформації.

11.4. Адміністратор захисту інформації зобов'язаний зберігати в справі № 2 адміністратора захисту інформації такі документи короткострокового користування:

а) супровідні листи (додаток 7 );

б) акт про знищення засобів захисту інформації Національного банку України (додаток 6);

в) акт про приймання-передавання засобів захисту;

г) акт про повернення до територіального управління/Центральної розрахункової палати Національного банку, знищення і передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку (додаток 11);

ґ) інші документи з питань захисту інформації.

11.5. До справ № 1, 2 адміністратора захисту інформації не включаються документи з питань загальної безпеки, що не стосуються захисту електронних банківських документів.

11.6. Листи територіального управління/Центральної розрахункової палати Національного банку (або їх копії), що надходять електронною поштою, повинні або включатися до справ № 1, 2, або реєструватися, зберігатися і знищуватися відповідно до правил діловодства організації.

11.7. Адміністратор АРМ-СЕП/АРМ-НБУ зобов'язаний вести журнал обліку адміністратора АРМ-СЕП/АРМ-НБУ, у якому реєструється приймання-передавання засобів захисту на АРМ-СЕП/АРМ-НБУ.

12.1. Територіальне управління/Центральна розрахункова палата Національного банку зобов'язане/зобов'язана перевірити готовність організації до включення в СЕП та інформаційні задачі, у яких використовуються засоби захисту, після вжиття організацією необхідних первинних заходів щодо організації захисту електронної банківської інформації відповідно до вимог, що визначаються цими Правилами та іншими нормативно-правовими актами Національного банку.

12.2. Підставою для перевірки є відповідне розпорядження територіального управління/Центральної розрахункової палати Національного банку.

12.3. Під час перевірки розглядаються такі питання:

а) наявність технічних можливостей для організації робочих місць відповідальних за роботу із засобами захисту осіб;

б) стан приміщення з АРМ-СЕП/АРМ-НБУ;

в) наявність відповідальних за роботу із засобами захисту осіб;

г) наявність копій нормативно-правових актів Національного банку щодо забезпечення інформаційної безпеки під час роботи із засобами захисту;

ґ) наявність розпорядчого документа організації про призначення відповідальних за роботу із засобами захисту осіб і зобов'язань усіх відповідальних осіб;

д) перевірка знань нормативно-правових актів, що регламентують порядок забезпечення інформаційної безпеки під час роботи із засобами захисту.

12.4. За результатами перевірки складається відповідний акт (додаток 12).

За наявності недоліків, що можуть впливати на безпеку електронних банківських документів, складається акт із зазначенням виявлених недоліків та встановленням строку їх усунення.

12.5. Територіальне управління/Центральна розрахункова палата Національного банку вирішує питання про надання організації необхідних засобів захисту і документів, що регламентують правила інформаційної безпеки під час роботи з ними, у робочому порядку.

12.6. Завершальним етапом підготовки організації до включення в СЕП є генерація і сертифікація ключів для АРМ-СЕП, що мають проводитися за один робочий день до включення організації до довідника учасників СЕП.

13.1. Організація зобов'язана повернути засоби захисту до територіального управління/Центральної розрахункової палати Національного банку в разі:

а) ліквідації;

б) припинення роботи із засобами захисту;

в) виявлення порушень в організації захисту електронних банківських документів.

13.2. Організація зобов'язана в разі її ліквідації повернути АКЗІ разом із СК до територіального управління/Центральної розрахункової палати Національного банку протягом трьох робочих днів.

13.3. Організація у випадках, передбачених підпунктом "б" пункту 13.1 цієї глави, зобов'язана:

а) погодити з територіальним управлінням/Центральною розрахунковою палатою Національного банку передбачувані строки і порядок виходу організації із СЕП або переходу на іншу модель роботи, перелік засобів захисту, журналів, які підлягають поверненню до територіального управління/Центральної розрахункової палати Національного банку, передаванню до архіву організації або знищенню на місці;

б) ужити заходів щодо повернення до територіального управління/Центральної розрахункової палати Національного банку, знищення і передавання до архіву засобів захисту, справ, журналів обліку зі складанням акта про повернення до територіального управління/Центральної розрахункової палати Національного банку України, знищення і передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку (додаток 11 );

в) надіслати до територіального управління/Центральної розрахункової палати Національного банку вищезазначений акт, перший примірник якого зберігає територіальне управління/Центральна розрахункова палата Національного банку, другий - організація.

13.4. У випадках проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, під час якої можуть виникнути умови втрати контролю за засобами захисту, питання про доцільність повернення або знищення засобів захисту і відповідного програмного забезпечення має вирішуватися залежно від ситуації, що склалася.

14.1. Організація зобов'язана вжити заходів для усунення загрози втрати засобів захисту, електронних архівів, комп'ютерної техніки тощо в разі виникнення надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо). Дії працівників організації, які використовують засоби захисту, регламентуються відповідним документом, що складений у довільній формі, підписаний керівником організації і зберігається у справі № 1 адміністратора захисту інформації. Особи, які працюють із засобами захисту, повинні зберігати виписку з цього документа на своїх робочих місцях.

14.2. Організація має право забезпечити роботу протягом одного робочого дня в приміщенні іншої організації за попереднім узгодженням з територіальним управлінням/Центральною розрахунковою палатою Національного банку і дотриманням правил використання і зберігання засобів захисту в разі виникнення аварійної ситуації (відключення електроживлення, пошкодження ліній зв'язку тощо). Організація в такому випадку зобов'язана видати розпорядчий документ про це, копія якого надсилається до територіального управління/Центральної розрахункової палати Національного банку.

14.3. Організація має право визначити тимчасовий порядок використання та зберігання засобів захисту за попереднім погодженням з територіальним управлінням/Центральною розрахунковою палатою Національного банку за необхідності (ремонтні роботи, переведення АРМ-СЕП/АРМ-НБУ в інше приміщення тощо). Організація в такому випадку зобов'язана видати розпорядчий документ про це, копія якого надсилається до територіального управління/Центральної розрахункової палати Національного банку.

14.4. Організація зобов'язана в разі виявлення фактів компрометації засобів захисту під час перевірки її діяльності правоохоронними органами проінформувати:

правоохоронні органи про наявність у неї засобів захисту, які є банківською таємницею і власністю Національного банку;

територіальне управління/Центральну розрахункову палату Національного банку про вищезазначене.

15.1. Організація зобов'язана протягом одного робочого дня (по телефону) інформувати територіальне управління/Центральну розрахункову палату Національного банку в таких випадках:

а) виконання (спроби виконання) фіктивного платіжного документа;

б) компрометація засобів захисту;

в) пошкодження засобів захисту;

г) несанкціоноване проникнення в приміщення з АРМ-СЕП/АРМ-НБУ (пошкодження вхідних дверей, ґрат на вікнах, спрацювання сигналізації за нез'ясованих обставин тощо);

ґ) проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, унаслідок якої створюються умови для компрометації засобів захисту;

д) виникнення інших аварійних або надзвичайних ситуацій, що створюють передумови до розкрадання, втрати, пошкодження тощо засобів захисту.

15.2. Організація зобов'язана проводити попереднє узгодження з територіальним управлінням/Центральною розрахунковою палатою Національного банку в таких випадках:

а) переведення АРМ-СЕП (у тому числі й тимчасово) в інше приміщення;

б) забезпечення роботи АРМ-СЕП поза межами організації;

в) виникнення інших нестандартних ситуацій.

15.3. Організація зобов'язана повідомляти територіальне управління/Центральну розрахункову палату Національного банку протягом одного робочого дня про:

а) призначення адміністраторів захисту інформації, адміністраторів АРМ-СЕП/АРМ-НБУ і АРМ бухгалтера САБ (копія наказу або виписка з наказу);

б) звільнення від обов'язків адміністратора захисту інформації, адміністраторів АРМ-СЕП/АРМ-НБУ та АРМ бухгалтера САБ (копія наказу або виписка з наказу);

в) отримання засобів захисту, що надсилаються територіальним управлінням/Центральною розрахунковою палатою Національного банку засобами спецзв'язку (з повідомленням про це за допомогою електронної пошти);

г) перехід на використання програмних засобів захисту АРМ-СЕП і зворотний перехід на роботу з АКЗІ (з наданням відповідного листа);

ґ) позапланову заміну ПМГК (з наданням відповідного листа).

16.1. Контроль за організацією захисту інформації документів відповідно до вимог нормативно-правових актів Національного банку у діяльності організації забезпечують:

керівник організації (особа, яка виконує його обов'язки);

заступник керівника організації або особа, яка за своїми службовими обов'язками або за окремим розпорядчим документом організації призначена відповідальною за організацію захисту електронних банківських документів.

16.2. Контроль за станом засобів захисту в організації забезпечує адміністратор захисту інформації.

16.3. Адміністратор захисту інформації зобов'язаний не рідше одного разу на квартал проводити планові перевірки використання засобів захисту відповідальними особами організації.

Адміністратор захисту інформації зобов'язаний звертати увагу на наявність засобів захисту, ключів від сейфів, у яких зберігаються засоби захисту, облікових даних, дотримання вимог щодо інформаційної безпеки під час зберігання та використання засобів захисту, обмеження доступу до приміщення з АРМ-СЕП/АРМ-НБУ, знання відповідальними особами нормативно-правових актів Національного банку з питань інформаційної безпеки, правильне і своєчасне заповнення журналів обліку.

Адміністратор захисту інформації зобов'язаний зробити відповідні записи в журналі обліку адміністратора захисту інформації (розділ 9 додатка 3) після завершення перевірки.

16.4. Територіальне управління/Центральна розрахункова палата Національного банку мають право здійснювати перевірку використання і зберігання засобів захисту.

16.5. Працівник територіального управління/Центральної розрахункової палати Національного банку, який здійснює перевірку, зобов'язаний мати при собі документи, які підтверджують його особу, і розпорядження про проведення перевірки.

16.6. Перевірка здійснюється в присутності посадової особи, призначеної керівником організації.

16.7. Працівник територіального управління/Центральної розрахункової палати Національного банку зобов'язаний під час перевірки застосовувати нормативно-правові акти Національного банку.

16.8. Працівник територіального управління/Центральної розрахункової палати Національного банку, який здійснює перевірку, має право:

а) перевіряти засоби захисту, АРМ-СЕП/АРМ-НБУ, журнали, справи і документи з питань організації захисту інформації;

б) відвідувати приміщення з АРМ-СЕП/АРМ-НБУ, вивчати умови зберігання засобів захисту;

в) відвідувати робочі місця всіх відповідальних осіб організації, які використовують засоби захисту, і вивчати умови використання та зберігання засобів захисту;

г) перевіряти у відповідальних за роботу із засобами захисту осіб знання нормативно-правових актів Національного банку, що регламентують забезпечення інформаційної безпеки, виконання рекомендацій Національного банку, їх уміння працювати із засобами захисту;

ґ) ознайомлюватися з наказами, актами й іншими документами організації, що дають змогу проконтролювати виконання відповідальними особами вимог щодо інформаційної безпеки;

д) у разі залучення брати участь у службових розслідуваннях, що проводяться в організації, у разі виявлення недоліків в організації захисту електронної банківської інформації.

16.9. Територіальне управління/Центральна розрахункова палата Національного банку проводить планові (не рідше одного разу на два роки) і позапланові перевірки.

Підставою для проведення позапланових перевірок є початок використання засобів захисту організацією або її переведення на будь-яку модель обслуговування консолідованого кореспондентського рахунку в СЕП, зміна місцезнаходження організації, перевірка після усунення недоліків, виявлених під час попередньої перевірки.

16.10. За результатами перевірки складається акт про проведення перевірки організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України (додаток 12) у двох примірниках. Територіальне управління/Центральна розрахункова палата Національного банку зберігає перший примірник цього акта, організація - другий.

17.1. Умови отримання засобів захисту установами Державного казначейства України визначаються відповідно до договору між Національним банком України і Державним казначейством України про функціонування рахунку Державного казначейства України в Національному банку.

17.2. Державне казначейство України використовує засоби захисту для роботи в СЕП та інформаційних задачах, а також у внутрішній АС "Казна" на рівні Управління Державного казначейства України в Автономній Республіці Крим, на рівні обласних управлінь і районних відділень Державного казначейства України.

17.3. Порядок використання, зберігання і приймання-передавання засобів захисту в обласних управліннях і районних відділеннях Державного казначейства України визначається цими Правилами, а також відповідним нормативним документом Державного казначейства України, який повинен відповідати цим Правилам.

1. Використання засобів захисту інформації Національного банку України у внутрішній платіжній системі організації, у територіально відокремлених філіях (відділеннях), які не є безпосередніми учасниками СЕП та/або інформаційних задач Національного банку України, системі "клієнт-банк" тощо.

2. Неправильний розподіл повноважень відповідальних осіб, які використовують засоби захисту інформації Національного банку України.

3. Порушення правила про те, що кожний платіжний документ організації має бути підписаний не менше ніж двома відповідальними особами цієї організації.

4. Допуск адміністратора захисту інформації або адміністратора САБ до оброблення електронних платежів.

5. Порушення правил генерації, використання та зберігання таємних ключів.

6. Використання засобів захисту інформації особами, які не були призначені відповідальними за роботу із засобами захисту інформації Національного банку України згідно з розпорядчим документом.

7. Передавання засобів захисту інформації Національного банку України в інші організації та використання засобів захисту інформації Національного банку України, які були видані іншим організаціям.

8. Використання для захисту електронних платежів засобів захисту інформації Національного банку України, контроль за якими був утрачений.

9. Наявність неврахованих копій засобів захисту інформації Національного банку України (програмного модуля генерації ключів, таємних ключів тощо).

10. Наявність копій таємних ключів операціоністів, невчасне вилучення з таблиці відкритих ключів АРМ-СЕП/АРМ-НБУ відкритих ключів операціоністів, які припинили оброблення електронних платіжних документів.

11. Зберігання на жорсткому диску ПЕОМ АРМ-СЕП/АРМ-НБУ програм, які не використовуються під час оброблення електронних банківських документів.

Примітка.

У колонці 6 робляться короткі робочі записи про причину звільнення відповідальної за роботу із засобами захисту особи.

Примітки.

Уключає тільки документи тривалого користування (нормативно-правові акти Національного банку України та роз'яснення з питань захисту інформації).

У колонці 7 за потреби робляться короткі робочі записи про факти втрати контролю за засобами захисту інформації тощо.

Примітка.

У колонці 7 за потреби робляться короткі робочі записи.

Примітка.

У колонці 6 за потреби робляться короткі робочі записи.

Примітка.

У колонці 5 за потреби робляться короткі робочі записи.

Примітка.

У колонці 4 за потреби робляться короткі робочі записи.

Примітка.

Відмітки про приймання-передавання засобів захисту інформації Національного банку України робляться щодня в разі двозмінної роботи адміністратора захисту інформації і за потреби - у разі однозмінної його роботи (у зв'язку з відсутністю основного адміністратора захисту інформації - відпустка, навчання, хвороба тощо).

Примітки.

Не враховуються таємні ключі тих операторів робочих і технологічних місць САБ, які зберігають власні таємні ключі в особистих сейфах.

Якщо оператор (операціоніст) не отримав власного таємного ключа для роботи, то в колонках 3 і 4 ставиться прочерк.

Якщо строк дії таємного ключа закінчився, то в колонках 5 і 6 робиться відмітка про це.

У разі потреби допускається ведення не загального обліку таємних ключів, а індивідуального - за кожною відповідальною особою.

Допускається зберігання облікових форм у швидкозшивачах. У цьому разі швидкозшивач є додатком до журналу обліку.

У колонці 7 за потреби робляться короткі робочі записи.

Примітка.

Робляться записи про всі зміни засобів захисту інформації Національного банку України АРМ-СЕП/АРМ-НБУ.

Примітки.

Р - суміщення обов'язків дозволено.

Д - суміщення можливе як виняток.

Х - суміщення обов'язків не дозволено.