Про затвердження нормативно-правових актів з питань інформаційної безпеки

26. Адміністратор інформаційної безпеки, якщо ПМГК не працює або ПМГК пошкоджений з вини персоналу організації, зобов'язаний:

1) повідомити Національний банк протягом трьох робочих днів про це;

2) замовити та отримати новий ПМГК відповідно до Положення про захист;

3) уживати заходів, що передбачені в пунктах 23 - 25 розділу V цих Правил.

27. Адміністратор інформаційної безпеки в разі втрати ПМГК або втрати контролю за місцезнаходженням ПМГК зобов'язаний:

1) повідомити Національний банк протягом одного робочого дня про такий випадок із зазначенням серійного номера втраченого ПМГК;

2) провести службове розслідування, висновки за результатами якого подати до Національного банку;

3) замовити та отримати новий ПМГК відповідно до Положення про захист;

4) уживати заходів, що передбачені в пунктах 23 - 25 розділу V цих Правил.

28. Організація зобов'язана забезпечити зміну паролів до ПМГК у разі звільнення відповідальної особи від обов'язків адміністратора інформаційної безпеки.

29. Відповідальна особа зобов'язана генерувати ключову пару (ТК та ВК) на АРМ ПМГК у присутності адміністратора інформаційної безпеки.

Усі спроби генерації ключової пари (ТК та ВК), у тому числі й невдалі, фіксуються в журналі ПМГК в автоматичному режимі.

ВК після їх генерації (за винятком ВК операціоністів САБ) підлягають обов'язковій сертифікації в Національному банку.

30. Організація зобов'язана використовувати лише захищені носії ТК. Національний банк має право встановлювати вимоги до захищених носіїв ТК, які використовуються організацією.

Національний банк надає відповідні криптобібліотеки підтримки носіїв ТК, рекомендації щодо налаштування доступу до ТК програмної частини системи захисту інформації.

31. Відповідальна особа має право створити копії ТК (за винятком ТК операціоністів САБ) для запобігання зупиненню роботи організації в СЕП та/або в інформаційних задачах у разі псування носія ТК за умови наявності документа організації, який визначає створення копій ТК та відповідальних за їх зберігання осіб.

На копії ТК поширюються всі вимоги щодо зберігання та використання, як і на основні ТК.

32. Відповідальна особа зобов'язана встановити пароль для носія ТК. Відповідальній особі заборонено розголошувати пароль та передавати носій ТК (крім випадків, якщо передбачено передавання ТК робочого місця іншій відповідальній особі).

33. Організація зобов'язана затвердити внутрішній порядок зберігання ТК залежно від конкретних умов її функціонування, забезпечивши дотримання вимог цих Правил.

Організація має право використовувати захищені носії ТК для розв'язання інших завдань організації (обмеження доступу до комп'ютерів, приміщень).

34. Адміністратор АРМ-СЕП, адміністратор АРМ-НБУ-інф зобов'язані передавати ТК відповідних АРМів (АРМ-СЕП, АРМ-НБУ-інф) (і за необхідності їх копії) між собою із здійсненням запису в журналі приймання-передавання ЗЗІ.

35. Організація зобов'язана вести архів ВК операціоністів САБ та архів журналу ПМГК протягом усього строку зберігання архівів електронних банківських документів.

36. Адміністратор інформаційної безпеки зобов'язаний забезпечувати своєчасну генерацію ключової пари (ТК та ВК) відповідальними особами і відправлення ВК на сертифікацію до Національного банку.

37. Відповідальна особа зобов'язана знищувати ТК (та їх копії) після закінчення строку дії.

ТК не вносяться до будь-якого архіву організації.

38. Відповідальна особа в разі компрометації ТК зобов'язана припинити використання такого ТК і повідомити про таку подію адміністратору інформаційної безпеки.

39. Адміністратор інформаційної безпеки в разі компрометації ТК зобов'язаний:

1) повідомити Національний банк системою електронної пошти Національного банку, у разі компрометації ТК АРМ-СЕП або АРМ бухгалтера САБ;

2) забезпечити вилучення відповідного ВК з ключових даних організації;

3) забезпечити генерацію нової ключової пари (ТК та ВК) і надалі вживати заходів щодо введення в дію ТК;

4) провести службове розслідування, висновки за результатами якого подати до Національного банку.

40. Адміністратор інформаційної безпеки зобов'язаний забезпечити вилучення з роботи відповідних ВК у встановленому порядку, якщо відповідальна особа, яка має ТК для будь-якого робочого місця, звільняється від виконання відповідних функціональних обов'язків.

41. Організація зобов'язана вжити заходів для усунення загрози втрати ЗЗІ в разі виникнення надзвичайної ситуації.

42. Організація має право визначити тимчасовий порядок використання та зберігання ЗЗІ (за попереднім узгодженням з Національним банком і дотриманням вимог цих Правил) у разі:

1) виникнення необхідності щодо здійснення діяльності в приміщенні іншої організації у разі виникненні аварійної ситуації (відключення електроживлення, пошкодження ліній зв'язку тощо);

2) переведення АРМ-СЕП, АРМ-НБУ-інф, АРМ ПМГК в інше приміщення;

3) проведення ремонтних робіт.

У такому разі організація зобов'язана копію тимчасового порядку в паперовій або електронній формі надати Національному банку.

43. Організація зобов'язана розмістити АРМ-СЕП, АРМ-НБУ-інф, АРМ ПМГК в окремих приміщеннях.

Організація має право розміщувати АРМ-СЕП та АРМ-НБУ-інф в одному приміщенні в разі суміщення обов'язків адміністратора АРМ-СЕП та адміністратора АРМ-НБУ-інф.

44. Організація зобов'язана виключити можливість несанкціонованого доступу до приміщень з АРМ-СЕП, АРМ-НБУ-інф та АРМ ПМГК.

45. Забороняється розміщувати АРМ-СЕП, АРМ бухгалтера САБ та АРМ ПМГК в одному приміщенні (у будь-яких комбінаціях).

46. Дозволяється розміщувати АРМ-СЕП, АРМ-НБУ-інф у серверному приміщенні, якщо такі програмно-апаратні комплекси працюють в автоматичному режимі.

У разі такого розміщення Адміністратор АРМ-СЕП зобов'язаний реагувати на інформаційні повідомлення, які надсилаються до АРМ-СЕП.

47. Дозволяється розміщувати АРМ-СЕП та АРМ-НБУ-інф на одному комп'ютері.

48. Організація зобов'язана внутрішнім документом призначити працівників, які мають допуск до приміщень з АРМ-СЕП, АРМ-НБУ-інф, АРМ ПМГК.

49. Організація зобов'язана забезпечити налаштування АРМ-СЕП, АРМ-НБУ-інф, АРМ ПМГК відповідно до експлуатаційної документації, вимог та рекомендацій Національного банку.

50. Організація зобов'язана повідомляти Національний банк про зміни свого місцезнаходження або зміни місцезнаходження АРМ-СЕП, АРМ-НБУ-інф, АРМ ПМГК протягом трьох робочих днів із наступного дня за датою настання таких змін.

1. Це Положення розроблено відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність", Законів України "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України у сфері інформаційної безпеки.

2. Терміни та скорочення в цьому Положенні вживаються в значеннях, визначених Законом України "Про електронні довірчі послуги", Положенням про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженим постановою Правління Національного банку України від 26 листопада 2015 року № 829 (зі змінами) (далі - Положення про захист), Правилами організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженими постановою Правління Національного банку України від 26 листопада 2015 року № 829 (у редакції постанови Правління Національного банку України від 05 жовтня 2018 року № 106) (далі - Правила № 829), Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року № 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909 (зі змінами).

3. Це Положення регламентує порядок здійснення контролю за виконанням організаціями вимог щодо використання ЗЗІ, установлених Правилами № 829.

4. Національний банк України (далі - Національний банк) здійснює контроль за використанням організаціями ЗЗІ (далі - контроль) шляхом:

1) аналізу інформації, документів, звітів, отриманих від організацій;

2) здійснення виїзних перевірок.

5. Національний банк має право вимагати від організації надання інформації для здійснення контролю шляхом направлення запиту.

Керівник організації зобов’язаний забезпечити надання на запит Національного банку достовірної інформації у вигляді письмових пояснень, документів в електронній (уключаючи електронний журнал ПМГК) та/або паперовій формі у строк, в обсязі, за форматом та за структурою, що визначені в такому запиті.

6. Керівник організації зобов’язаний забезпечити подання звіту щодо використання ЗЗІ (далі - Звіт) згідно з додатком до цього Положення.

Звіт подається організаціями до Національного банку один раз на рік протягом одного місяця, наступного за звітним періодом (рік), у паперовій або електронній формі. У разі подання Звіту в паперовій формі такий Звіт засвідчується власноручним підписом керівника організації. Подання Звіту в електронній формі здійснюється у форматі pdf із кваліфікованим електронним підписом керівника організації і такий Звіт надсилається засобами електронної пошти Національного банку.

7. Національний банк забезпечує нерозголошення інформації, отриманої ним під час здійснення контролю, третім особам, за винятком випадків, передбачених законодавством України.

8. Національний банк має право здійснювати виїзні перевірки виконання організаціями вимог, установлених Правилами № 829 (далі - перевірки).

Підставами для проведення перевірок є:

1) уключення організації в СЕП та/або інформаційні задачі Національного банку;

2) зміна місцезнаходження організації або зміна адреси розташування ЗЗІ, які організація отримала відповідно до Положення про захист;

3) ненадання організацією інформації або надання недостовірної та/або неповної інформації у Звіті та/або за запитом Національного банку. Під час проведення перевірки з’ясовуються лише ті питання, необхідність у перевірці яких стала підставою для її здійснення;

4) ненадання організацією інформації або надання недостовірної та/або неповної інформації про вжиття заходів щодо усунення недоліків, порушень, виявлених під час здійснення перевірки.

9. Перевірка повинна здійснюватися у строк, що не перевищує трьох робочих днів.

10. Працівники Національного банку, уповноважені на здійснення перевірки, зобов’язані мати документи, що підтверджують їх особу, та розпорядчий акт Національного банку, на підставі якого здійснюється перевірка.

11. Перевірка здійснюється в присутності адміністратора інформаційної безпеки та/або посадової особи, призначеної керівником організації.

12. Працівники Національного банку, які здійснюють перевірку, мають право:

1) ознайомлюватися з журналами (ПМГК, обліку ЗЗІ, приймання-передавання ЗЗІ) та внутрішніми документами організації, що підтверджують виконання вимог Правил № 829;

2) відвідувати приміщення організації, де використовуються та зберігаються ЗЗІ, вивчати умови їх використання і зберігання;

3) відвідувати робочі місця працівників організації, які використовують ЗЗІ;

4) перевіряти налаштування АРМ-СЕП, АРМ-НБУ-інф, АРМ ПМГК на відповідність експлуатаційній документації, вимогам і рекомендаціям Національного банку.

13. Працівники Національного банку, уповноважені на здійснення перевірки, за результатами перевірки складають довідку про перевірку (далі - довідка). Довідка має містити описову частину, висновки, виявлені порушення, недоліки та строки їх усунення. Довідка також може містити іншу інформацію та рекомендації для організації.

14. Довідка складається у двох примірниках за підписом працівників Національного банку, уповноважених на здійснення перевірки, та керівника організації. Один примірник довідки зберігається в Національному банку, другий - в організації.

15. Керівник організації в разі наявності заперечень щодо висновків, викладених у довідці, має право надати обґрунтовані письмові заперечення (пояснення) із документальним підтвердженням (у разі його наявності), які є невід’ємною частиною довідки. У такому разі довідка доповнюється відміткою "із запереченнями (поясненнями)".

16. Організація в установлені в довідці строки і спосіб надає до Національного банку інформацію про вжиття заходів щодо усунення недоліків, порушень, виявлених під час здійснення перевірки.

17. Національний банк перевіряє готовність організації до включення в СЕП та/або інформаційні задачі Національного банку після впровадження організацією заходів відповідно до вимог Правил № 829.

18. Працівники Національного банку, уповноважені на здійснення перевірки готовності організації до включення в СЕП та/або інформаційні задачі Національного банку, перевіряють:

1) наявність технічних можливостей для організації робочих місць відповідальних осіб згідно з вимогами Правил № 829;

2) наявність відповідальних осіб за зберігання та використання засобів захисту інформації Національного банку, внутрішніх документів організації про їх призначення та підписаних ними зобов’язань відповідно до вимог Правил № 829.

ПОГОДЖЕНО: