6. Порядок змін та розірвання договору
6.1. Сторона, яка вважає за необхідне змінити чи розірвати договір, надсилає пропозиції про це другій стороні за договором.
6.2. Сторона, що одержала пропозицію про зміну чи розірвання договору, повинна відповісти на неї не пізніше 20 днів після одержання пропозиції. Якщо сторони не досягли згоди щодо зміни чи розірвання договору, а також у разі неодержання відповіді у встановлений строк з урахуванням часу поштового обігу, заінтересована сторона має право передавати спір на вирішення арбітражного суду.
6.3. Спори, які виникають протягом дії договору, вирішуються шляхом переговорів. У разі недосягнення згоди - в арбітражному суді.
7. Термін дії договору
7.1. Договір, укладений на невизначений термін, набуває чинності з дня його підписання. Дія договору припиняється у випадках, передбачених чинним законодавством України.
8. Інші умови
8.1. Крім передбачених цим договором умов, сторони при укладенні договору можуть встановлювати інші умови, які не повинні суперечити чинному законодавству України.
9. Юридичні адреси сторін
9.1. Юридична адреса та банківські реквізити Депозитарію:
м.Київ, пр.Науки 7, р/рахунок 827342502 у Центрі міждержавних
розрахунків, МФО 300993, ЄДРПОУ-00032106
9.2. Юридична адреса та банківські реквізити Депонента:
_____________________________________________________________
_____________________________________________________________
9.3. Для вирішення всіх питань, пов'язаних з виконанням цього договору, відповідальними представниками є:
від Депозитарію _________________________________________
від Депонента ___________________________________________
9.4. Цей договір складений у двох примірниках. Усі оформлені та підписані примірники договору мають однакову юридичну силу.
Депозитарій Депонент
М.П. М.П.
Додаток N 2
Тимчасове положення про систему захисту операцій з цінними паперами
Система захисту операцій з цінними паперами складається з комплексу програмних засобів криптографічного захисту і ключової системи до них, технологічних та організаційних заходів щодо захисту інформації в обчислювальній мережі Національного банку України.
Система захисту електронних операцій з цінними паперами базується на таких вимогах:
а) система безпеки операцій з цінними паперами охоплює всі етапи розробки, впровадження та експлуатації програмно-технологічного забезпечення електронного депозитарію Національного банку України;
б) система безпеки роботи включає технологічні, криптографічні програмні засоби та організаційні заходи захисту;
в) система захисту забезпечує автентифікацію та захист інформації від викривлення.
На базі цього виділені такі завдання системи захисту СЕП:
а) захист від злочинних дій (несанкціоноване розшифрування та викривлення електронних документів, поява фальсифікованих електронних документів на будь-якому етапі обробки);
б) автоматичне ведення протоколу операцій з цінними паперами з метою локалізації джерел появи порушень функціонування депозитарію Національного банку України;
в) створення умов щодо виконання операцій з цінними паперами, за яких фахівці депонентів та Національного банку практично не мають змоги втручатись в обробку електронних документів після їх формування та забезпечення контролю на кожному етапі обробки.
1. Технологічні та бухгалтерські засоби безпеки
Технологічний та бухгалтерський контроль у депозитарії Національного банку виконується програмним забезпеченням на всіх рівнях обробки електронних документів, що дає змогу контролювати проведення операцій з цінними паперами протягом робочого дня, а також виконувати звіряння в кінці дня.
Технологічні засоби контролю включають:
- механізм обміну квитанціями, який дає змогу однозначно ідентифікувати отримання адресатом будь-якого пакета електронних документів та достовірність отриманої інформації в цьому пакеті;
- механізм інформування депонента депозитарію Національного банку України про поточний стан його депо-рахунків та формування довідково-аналітичних матеріалів, що характеризують розміщення та обіг ДЦП;
- взаємообмін між депонентом та депозитарієм Національного банку підсумковими документами в кінці дня, програмне звіряння цих документів;
- механізм контролю програмних засобів щодо несанкціонованого модифікування робочих модулів.
Усі технологічні засоби контролю вбудовані у програмне забезпечення, вони не можуть бути заблоковані, а у разі виникнення нестандартної ситуації або підозри на несанкціонований доступ вони повідомляють працівників депонента та депозитарію, що дає можливість оперативного втручання в таку ситуацію.
Бухгалтерські засоби контролю включають:
- підсумкові документи, які містять повну технологічну та бухгалтерську інформацію;
- підсумкові документи депозитарію, які виконують контроль за відповідністю між кількістю ДЦП і їх кількістю в обігу, а також за виконанням угод між депонентами;
- засоби аналізу розміщення та обігу ДЦП.
2. Криптографічний захист інформації
Реалізація програмних засобів криптографічного захисту виконується з урахуванням вимог міжнародних стандартів.
Система захисту електронних депозитарних операцій створена службою захисту інформації НБУ і є невід'ємною частиною програмно-технологічного забезпечення операцій з цінними паперами. Вона забезпечує захист електронних повідомлень від перехоплення, підроблення та перекручення, автентифікацію адресата й відправника електронного документа, підтримує їх абсолютну достовірність і цілісність через неможливість їх підроблення або перекручення в шифрованому вигляді та не залежить від засобів телекомунікаційного зв'язку.
Система захисту забезпечує виконання наступних функцій:
- накладення/перевірку електронного цифрового підпису;
- архівацію/розархівацію файлів;
- шифрування/дешифрування файлів;
- формування шифрованого арбітражного журналу;
- оновлення таблиць відкритих ключів.
Усі ці функції виконуються автоматично під керуванням програмно-технологічних засобів, що виконують операції з цінними паперами.
Захист електронної інформації про обіг цінних паперів у локальних обчислювальних мережах банківських установ складається з суворого виконання службовими особами технологічних операцій з формування та оброблення електронних документів та організаційних заходів щодо обмеження доступу до електронної інформації про ДЦП.
Захист інформації в локальних обчислювальних мережах забезпечується використанням адміністратором локальної мережі надійних сертифікованих програм оброблення електронних документів та програм дозволу доступу до конкретних файлів інформації, охороною приміщення та іншими організаційними заходами.
Відповідальність за виконання вимог захисту в локальних мережах покладається на службових осіб цих банківських установ.
3. Ключова система
Ключова система криптографічного захисту та самі ключі є основою захисту, тому інформація про це має закритий характер, розголошенню не підлягає. Усім службовим особам депонентів депозитарію Національного банку в своїй роботі необхідно суворо дотримуватись інструкцій та правил збереження й користування засобами захисту.
Для забезпечення актуального стану ключової системи операції з цінними паперами кожному депоненту депозитарію Національного банку службою захисту інформації Національного банку надається унікальний генератор ключів. Кожен депонент в будь-який час має змогу згенерувати собі нову пару ключів: таємний та відкритий. Таємний ключ являє собою випадкове число спеціального формату, має зберігатися та використовуватися згідно з інструкцією, наданою з генератором ключів. Відкритий ключ повинен пройти сертифікацію в службі захисту інформації Національного банку на відповідність приналежності саме тому депоненту, від якого він був отриманий. Після цього в захищеному вигляді цей відкритий ключ надається адресатам депонента, з якими він підтримує обмін електронними повідомленнями. Це дає гарантію кожному депоненту, що тільки він може виконувати шифрування інформації, причому лише на адресу свого адресата. Ніхто інший (навіть працівники служби захисту інформації Національного банку) не мають змоги розшифрування цієї інформації або підробки повідомлень від імені депонента.
Адміністратор банківської безпеки або інша службова особа, призначена наказом керівництва депонента, отримує генератор ключів від служби захисту, забезпечує його зберігання та використання, а також контроль за використанням ключів під час виконання операції з цінними паперами.
До роботи із здійснення захисту електронних документів допускаються службові особи, які вивчили інструкції й правила користування програмно-технологічним забезпеченням, ключами і наказом керівника установи призначені виконувати відповідні обов'язки щодо захисту електронних документів.
Депоненти депозитарію Національного банку за порушення інструкцій та правил користування засобами захисту електронних документів несуть матеріальну відповідальність згідно з чинним законодавством та договором про депозитарне й інформаційне обслуговування операцій з цінними паперами.
Службові особи за порушення інструкцій та правил роботи з програмно-технологічним забезпеченням та ключами несуть дисциплінарну і матеріальну відповідальність згідно з чинним законодавством.
Надання генераторів ключів, сертифікація відкритих ключів депонентів та керування ключовою системою операцій з цінними паперами, контроль за їх використанням покладаються тільки на службу захисту Національного банку.
На вимогу служби захисту Національного банку всім службовим особам, відповідальним за виконання захисту електронних документів, треба негайно надавати письмову або усну інформацію про стан засобів захисту та їх використання, а також інформацію про технологію роботи з цінними паперами.
4. Облік засобів захисту, документації до них, призначення відповідальних службових осіб у депонентів депозитарію Національного банку України
У кожного депонента обов'язково в окремому журналі ведеться облік:
- засобів захисту, правил користування засобами захисту, правил користування носіями з ключами;
- хто та коли генерував нові ключі та з якої причини (планова заміна ключів, аварійна заміна із зазначенням причини заміни);
- коли і кому (дата, прізвище та підпис) передали для користування і зберігання засоби захисту або документи до них;
- службових осіб, на яких наказом покладено (звільнено від) виконання криптографічного захисту електронних документів.
Ведеться окрема справа про листування з питань захисту.
У кожного депонента призначаються відповідальні за криптографічний захист службові особи:
- за одержання, зберігання та використання генератора ключів і документації до нього, облік та своєчасну заміну ключів, сертифікацію відкритих ключів у службі захисту інформації Національного банку, листування з питань захисту (адміністратор безпеки);
- за виконання криптографічного захисту електронних документів за допомогою програмно-технологічного забезпечення операцій з цінними паперами (оператор АРМ).
Необхідна кількість службових осіб: найменше дві. Залежно від обсягів роботи з цінними паперами кількість службових осіб може бути збільшена.
Необхідно забезпечити чіткий розподіл повноважень між службовими особами щодо ключових моментів обробки операцій з цінними паперами. Повноваження оператора АРМ роботи з цінними паперами, адміністратора електронної пошти та локальної мережі депонента мають виконувати різні особи.
5. Вимоги режимних умов до приміщень депонентів депозитарію Національного банку, де здійснюються депозитарні операції, працюють та зберігаються засоби захисту
Для депонентів депозитарію Національного банку до приміщень, де виконуються депозитарні операції, працюють та зберігаються в неробочий час засоби захисту, є обов'язковими такі вимоги:
5.1. Забезпечується постійний контроль за входом у приміщення тільки службових осіб, які наказом керівника депонента призначені для виконання депозитарних операцій та їх захисту.
5.2. Мають міцні стіни, підлогу та стелю, на вікнах встановлені металеві надійні грати, двері обладнані кодовим або автоматичним замком, в неробочий час приміщення опечатується.
5.3. Обладнані стандартною (сертифікованою) охороною та пожежною сигналізацією, що функціонує у чергового варти банку або охоронної служби МВС. У чергового варти має бути інструкція на випадок спрацювання сигналізації.
5.4. Мають сейфи (металеві міцні шафи) для зберігання засобів захисту, документів до них та носіїв з ключами в неробочий час та під час перерви.
5.5. Мають цілодобову охорону, яка виключає викрадення, компрометацію або псування засобів захисту.
5.6. Виконання робіт у приміщенні (ремонтні роботи, прибирання приміщення та інші) забезпечувати під контролем осіб, які відповідають за депозитарні операції.
5.7. З метою обмеження доступу до електронної інформації банку рекомендується розміщати сервер локальної мережі банку, вузол електронної пошти та програмно-технологічне забезпечення операцій з цінними паперами в окремих ізольованих приміщеннях.
Всі службові особи, визначені для виконання електронних депозитарних операцій, зобов'язані суворо дотримуватися цих вимог. Відповідальність за виконання вимог режимних умов до приміщень покладається на керівників депонентів депозитарію Національного банку.
Додаток N 3
Тимчасове положення про інформаційно-арбітражні послуги служби захисту інформації Національного банку України для електронних операцій з цінними паперами
Послуги депонентам депозитарію Національного банку у веденні арбітражних справ за електронними операціями з цінними паперами між депонентами депозитарію надає лише служба захисту інформації Національного банку як незацікавлена в комерційній діяльності сторона.
Комплексом програмних засобів криптографічного захисту операцій з цінними паперами передбачено формування шифрованого архіву, де зберігаються всі зашифровані та надіслані, а також одержані й автентифіковані (дешифровані) депо-документи. Дешифрування повідомлень архіву можливе лише за наявності ключа, який знаходиться в службі захисту інформації Національного банку. Згідно з чинним законодавством строк зберігання цих шифрованих архівів у депонентів депозитарію становить 3 роки.
Арбітражна версія програмного комплексу криптографічного захисту дає змогу службі захисту інформації Національного банку за наявністю копій шифрованого архіву депонента депозитарію дешифрувати всі повідомлення з цього архіву та з абсолютною достовірністю визначати:
- ім'я абонента, який надіслав (зашифрував) електронний документ;
- ім'я абонента, якому адресовано електронний документ;
- дату, годину та хвилину, коли виконувалося шифрування електронного документа;
- дату, годину та хвилину, коли та ким виконувалося дешифрування електронного документа.
Журнали реєстрації надходжень електронної пошти дають змогу мати інформацію про шлях та час проходження електронного розрахункового документа від одного учасника операції з цінними паперами до іншого через усі пункти мережі телекомунікації.
Засоби захисту електронних банківських документів мають сертифікати відповідних державних служб України. Установи арбітражного суду України приймають до розгляду матеріали арбітражної справи від служби захисту Національного банку як достовірні документи.
Умови виконання арбітражної послуги в службі захисту Національного банку:
- всі учасники операцій з цінними паперами щоденно формують на гнучких магнітних дискетах (далі - ГМД) та надійно зберігають шифрований архів електронних документів за допомогою програмно-технологічного забезпечення депозитарних операцій;
- без копії на ГМД щоденного шифрованого архіву електронних документів користувача інформаційно-арбітражні послуги службою захисту інформації Національного банку не надаються;
- відсутність щоденного шифрованого архіву електронних документів у відповідача за наявністю деяких свідчень та обставин спричиняє відповідальність за позов.
Служба захисту інформації Національного банку надаватиме послуги у разі виникнення непорозуміння або спірних питань з електронними документами між депонентами депозитарію у разі, якщо:
- не виконується автентифікація електронного документа, не дешифрується електронний документ;
- є відмова від факту одержання електронного документа, який насправді був одержаний;
- є відмова від формування та відправки електронного документа;
- стверджується, що одержувачу в деякий час надійшов електронний документ, а фактично він не надсилався або був підроблений на місці;
- стверджується, що електронний документ був сформований та надісланий, а фактично він не формувався, було надіслано інше повідомлення;
- є непорозуміння у реквізитах одного й того ж електронного документа, сформованого та надісланого депонентом депозитарію і правильно автентифікованого депозитарієм або навпаки;
- є непорозуміння в даті або часі формування електронного документа у депонента та одержання його в депозитарії або навпаки;
- проводиться робота з архівом абонента при проведенні ревізій.
Інформаційно-арбітражні послуги служба захисту інформації Національного банку надає позивачам (депонентам депозитарію Національного банку) у вигляді паперових документів (на перелічені вище спірні питання), які стверджують або відхиляють звинувачення в заявах позивачів. Ці документи арбітражний суд розглядає як докази до позову.
У разі надання службі захисту інформації Національного банку для арбітражу неякісних копій щоденного шифрованого архіву електронних документів або пошкодженої (зіпсованої) інформації на ГМД (з будь-яких причин) позивачу буде відмовлено в позові, а якщо це матеріали відповідача, то за наявності деяких свідчень та обставин це тягне його відповідальність за позов.
Якщо відповідач не надає матеріалів (копії щоденного шифрованого архіву) службі захисту інформації Національного банку для арбітражу у разі наявності деяких свідчень та обставин, відповідальність за позов покладається на нього.
Інформаційно-арбітражні послуги служби захисту інформації Національного банку обумовлюються під час укладення договору про депозитарне та інформаційне обслуговування операцій з цінними паперами.