Про затвердження Змін до Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України

Відповідно до статей 7, 15, 40 та 56 Закону України "Про Національний банк України", з метою удосконалення процесів надання послуг Національним банком України Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Зміни до Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженого постановою Правління Національного банку України від 26 листопада 2015 року № 829, що додаються.

2. Департаменту безпеки (Скомаровський О.А.) після офіційного опублікування довести зміст цієї постанови до відома банків України для використання в роботі.

3. Контроль за виконанням цієї постанови покласти на першого заступника Голови Національного банку України Смолія Я.В.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. У розділі І:

1) пункт 1 після слів "Національного банку України" доповнити словами "(далі - Національний банк)";

2) у пункті 2:

у підпунктах 1 - 4, 7, 8, 10 слово "України" виключити;

підпункти 11, 12 викласти в такій редакції:

"11) організація-замовник - банківська або інша установа, яка приєднується до Єдиного договору банківського обслуговування та надання інших послуг Національним банком України (далі - Єдиний договір) для отримання послуг Національного банку України із надання в користування засобів захисту інформації Національного банку;

12) ПМГК - програмний або програмно-апаратний модуль генерації ключів криптографічного захисту інформації, який є власністю Національного банку;";

у підпунктах 14, 15 слово "України" виключити;

3) у пункті 4:

в абзаці першому слова "Національного банку України (далі - Національний банк)" замінити словами "Національного банку";

абзац другий пункту 4 викласти в такій редакції:

"Організації взаємодіють за всіма поточними питаннями роботи із ЗЗІ з Департаментом безпеки Національного банку (далі - Департамент безпеки).".

2. У розділі II:

1) пункти 10, 11 викласти в такій редакції:

"10. Для забезпечення цілісності інформації, суворої автентифікації та безперервного захисту електронних банківських документів з часу їх формування система захисту інформації використовує механізми формування (перевірки) ЕЦП на базі асиметричних алгоритмів RSA та Національного стандарту України ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих", затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002).

11. Організація для забезпечення захисту інформації зобов'язана мати трибайтний унікальний ідентифікатор (далі - унікальний ідентифікатор).";

2) у першому реченні абзацу першого пункту 15 слова та літери "несиметричного алгоритму RSA" замінити словами, літерами та цифрами "асиметричних алгоритмів RSA та ДСТУ 4145-2002".

3. У розділі III:

1) пункт 19 викласти в такій редакції:

"19. Умовами для отримання ЗЗІ є:

1) приєднання організації-замовника до Єдиного договору для отримання таких видів послуг Національного банку:

розрахунково-інформаційного обслуговування в системі електронних платежів Національного банку (для учасників СЕП);

системою електронної пошти Національного банку (далі - система ЕП);

із надання в користування засобів захисту інформації Національного банку, крім випадків, якщо організацією-замовником є установи Державної казначейської служби України, Державна служба фінансового моніторингу України, Державна фіскальна служба України, Національне антикорупційне бюро України, Державна установа "Офіс адміністрування проектів міжнародного фінансового співробітництва", Державна іпотечна установа, Фонд гарантування вкладів фізичних осіб, Центральна виборча комісія (далі - державні установи). Для державних установ - укладення договору про використання засобів захисту інформації Національного банку між організацією-замовником та Національним банком та підключення до системи ЕП;

2) забезпечення відповідності приміщень, у яких будуть оброблятися електронні банківські документи, використовуються та зберігаються ЗЗІ, вимогам, визначеним Правилами;

3) призначення посадових осіб, відповідальних за зберігання та використання ЗЗІ;

4) лист-доручення (довіреність) про отримання конкретних ЗЗІ особі, відповідальній за отримання ЗЗІ для організації.";

2) доповнити розділ після пункту 19 новим пунктом 19-1 такого змісту:

"19-1. Організація подає до Департаменту безпеки лист про готовність до включення в СЕП та/або інформаційні задачі Національного банку та наказ про призначення посадових осіб, відповідальних за зберігання та використання ЗЗІ.";

3) пункти 21, 22 викласти в такій редакції:

"21. Приєднання організації-замовника, крім державних установ, до Єдиного договору здійснюється відповідно до Публічної пропозиції Національного банку України на укладення Єдиного договору банківського обслуговування та надання інших послуг Національним банком України, розміщеної на сторінці офіційного Інтернет-представництва Національного банку. Державні установи та Національний банк укладають між собою договір про використання засобів захисту інформації Національного банку України відповідно до зразка, наведеного в додатку 1 до цього Положення.

Організація зобов'язана внести зміни до додатка 1 до Заяви про приєднання до Єдиного договору/договору в разі зміни адреси розташування ЗЗІ.

22. Департамент безпеки в разі відсутності недоліків за результатами перевірки готовності включення організації в СЕП та/або інформаційні задачі виготовляє та надає ЗЗІ організації.";

4) у пункті 23 слова "територіального управління за місцем розташування організації" замінити словами "Національного банку";

5) абзац перший пункту 24 викласти в такій редакції:

"24. Департамент безпеки разом з документом на отримання/заміну ЗЗІ зберігає один примірник, а організація - другий примірник акта про приймання-передавання засобів захисту інформації Національного банку, за яким АКЗІ, смарт-картки та програмно-апаратний модуль генерації ключів криптографічного захисту інформації передаються в організацію. У разі використання ПМГК на гнучкому магнітному диску Департамент безпеки зберігає копію супровідного листа, а організація - супровідний лист, згідно з яким цей ПМГК передається в організацію.";

6) в абзаці третьому пункту 26 слова "зазначено в договорі" замінити словами та цифрою "зазначено в додатку 1 до Заяви про приєднання до Єдиного договору/договорі";

7) у підпункті 2 пункту 27:

абзац другий доповнити словами "та/або інформаційних задач Національного банку";

абзац четвертий виключити;

8) пункт 28 викласти в такій редакції:

"28. Організація зобов'язана повернути АКЗІ разом із СК та/або програмно-апаратний модуль генерації ключів до Департаменту безпеки в разі виходу АКЗІ та/або програмно-апаратного модуля генерації ключів з ладу або отримання від Департаменту безпеки листа з вимогою повернення ЗЗІ протягом трьох робочих днів з укладенням акта про приймання-передавання засобів захисту інформації Національного банку, один примірник якого зберігає Департамент безпеки, другий - організація.".

4. В абзаці першому пункту 36 розділу V слова "системи електронної пошти Національного банку" замінити словом та літерами "системи ЕП".

5. У додатках до Положення:

1) у додатку 1:

абзац п'ятий пункту 1.1 глави 1 викласти в такій редакції:

"програмні або програмно-апаратні модулі генерації ключів криптографічного захисту інформації (далі - ПМГК) згідно з описом у супровідному листі/акті про приймання-передавання засобів захисту інформації Національного банку.";

у главі 4:

в абзаці четвертому пункту 4.2 слово "банку" замінити словом "організації";

абзац десятий пункту 4.4 після літер "АКЗІ" доповнити словами та літерами "та ПМГК у разі використання програмно-апаратної реалізації";

у пункті 2 примітки слова "учасниками інформаційних задач (отримують тільки програмні засоби захисту інформації)" замінити словами "учасниками тільки інформаційних задач";

літери "М. П." виключити;

2) у додатку 2:

літери "М. П." виключити;

у назві слово "апаратних" виключити;

в абзаці першому слово "договору" замінити словами "Заяви про приєднання до Єдиного договору/договору";

після абзацу третього доповнити додаток новим абзацом четвертим такого змісту:

"програмно-апаратний модуль генерації ключів криптографічного захисту інформації № _______.".

У зв'язку з цим абзац четвертий уважати абзацом п'ятим;

3) у додатку 3:

літери "М. П." виключити;

в абзацах першому, другому слово "договору" замінити словами "Єдиного договору/договору";

пункт 1 доповнити новим абзацом такого змісту:

"програмно-апаратний модуль генерації ключів криптографічного захисту інформації № ______.".

6. У тексті Положення слова "через територіальне управління" виключити.

7. У тексті Положення та додатках до нього слова "Департамент інформаційної безпеки" у всіх відмінках замінити словами "Департамент безпеки" у відповідних відмінках.