Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України

Відповідно до статті 7 Закону України "Про Національний банк України" , з метою підвищення рівня захисту інформації в банках України, їх філіях, установах Державного казначейства України, державних установах, небанківських установах, які використовують засоби захисту інформації Національного банку України, та у зв'язку з упровадженням нових інформаційних технологій Правління Національного банку України

1. Затвердити Правила організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України (додаються).

2. Визнати такою, що втратила чинність:постанову Правління Національного банку України від 10.06.99 № 280 "Про затвердження Правил організації захисту електронних банківських документів", зареєстровану в Міністерстві юстиції України 30.08.99 за № 583/3876 (із змінами).

3. Департаменту інформатизації (А.С.Савченко) після державної реєстрації в Міністерстві юстиції України довести зміст цієї постанови до відома Центральної розрахункової палати, територіальних управлінь Національного банку України, банків України, їх філій, установ Державного казначейства України, інших органів державної влади, небанківських установ, які використовують засоби захисту інформації Національного банку України, для застосування в роботі.

4. Постанова набирає чинності через 10 днів після державної реєстрації в Міністерстві юстиції України.

5. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України П.М. Сенища.

1.1. Ці Правила розроблені відповідно до статті 7 Закону України "Про Національний банк України" , статті 66 Закону України "Про банки і банківську діяльність" , Законів України "Про платіжні системи та переказ коштів в Україні", "Про електронні документи та електронний документообіг", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України (далі - Національний банк).

1.2. У тексті Правил скорочення вживаються в такому значенні:

АКЗІ - апаратура криптографічного захисту інформації;

АРМ - автоматизоване робоче місце;

АРМ бухгалтера САБ - автоматизоване робоче місце САБ, на якому здійснюється формування файлів/онлайнових пакетів, які містять початкові платежі СЕП;

АРМ-НБУ - автоматизоване робоче місце АРМ-НБУ-інформаційний з програмними засобами захисту інформації, яке призначене для роботи в інформаційних задачах Національного банку;

АС - автоматизована система;

ВК - відкритий ключ;

ГМД - гнучкий магнітний диск;

ЕЦП - електронний цифровий підпис;

засоби захисту - засоби захисту інформації Національного банку;

інформаційні задачі - програмно-технічні комплекси автоматизації банківської діяльності, які забезпечують оброблення та передавання інформації, що не належить до платіжної та технологічної інформації СЕП, з використанням засобів захисту інформації Національного банку між банками України, їх філіями, Національним банком, органами державної влади і небанківськими організаціями;

ПЕОМ - персональна електронна обчислювальна машина;

ПМГК - програмний модуль генерації ключів;

регіональний підрозділ Департаменту інформаційної безпеки - структурний підрозділ Департаменту інформаційної безпеки, працівники якого мають робочі місця в територіальних управліннях Національного банку за місцем розташування організації;

ТК - таємний ключ;

САБ - система автоматизації банку;

СЕП - система електронних платежів Національного банку;

система захисту інформації Національного банку (далі - система захисту) - сукупність методів і засобів, що включає апаратно-програмні, програмні засоби захисту, ключову інформацію та систему розподілу ключової інформації, технологічні засоби контролю та організаційні заходи;

СК - смарт-картка;

сувора автентифікація - ідентифікація кожного користувача за ознакою володіння своїм секретним ключем;

ТВК - таблиця відкритих ключів.

Інші терміни та скорочення, що вживаються в цих Правилах, використовуються в значеннях, визначених Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року № 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909 (зі змінами).

1.3. Правила регламентують порядок отримання, обліку, передавання, використання та зберігання засобів захисту, виконання вимог щодо правил інформаційної безпеки в банках України, їх філіях, органах державної влади, небанківських установах, які є безпосередніми учасниками системи електронних платежів (далі - СЕП) та/або інформаційних задач (далі - організація), які згідно з договором з Національним банком отримали засоби захисту.

1.4. Організації отримують засоби захисту для використання в СЕП незалежно від моделі обслуговування консолідованого кореспондентського рахунку в СЕП та/або інформаційних задачах Національного банку та вирішують усі поточні питання роботи із засобами захисту інформації Національного банку в регіональних підрозділах Департаменту інформаційної безпеки за місцем їх розташування.

1.5. Регіональний підрозділ Департаменту інформаційної безпеки надає організаціям засоби захисту, що використовуються в СЕП та/або інформаційних задачах, на підставі договору про використання засобів захисту інформації в системі електронних платежів Національного банку України або договору про використання засобів захисту інформації Національного банку України в інформаційних задачах між організацією та Департаментом інформаційної безпеки.

Департамент інформаційної безпеки через свої регіональні підрозділи та організація укладають між собою вищезазначені договори відповідно до зразків, викладених у додатках 1 і 13 до цих Правил.

Організації, які є безпосередніми учасниками СЕП, не укладають договір про використання засобів захисту в інформаційних задачах, але в цьому випадку регіональний підрозділ Департаменту інформаційної безпеки надає організації програмне забезпечення АРМ-НБУ із супровідним листом, один примірник якого зберігається в регіональному підрозділі Департаменту інформаційної безпеки Національного банку, другий - у справі № 1 адміністратора захисту інформації організації.

1.6. Регіональний підрозділ Департаменту інформаційної безпеки перевіряє виконання правил роботи із засобами захисту в організаціях, які використовують засоби захисту.

1.7. Правила поширюються на організації, що мають програмні комплекси АРМ-СЕП та/або АРМ-НБУ і засоби захисту.

1.8. Правила не встановлюють вимоги щодо технології та безпеки роботи інших платіжних систем, систем автоматизації банківської діяльності й систем "клієнт-банк".

1.9. Організація зобов'язана узгоджувати з регіональним підрозділом Департаменту інформаційної безпеки ситуації, які можуть виникати під час роботи із засобами захисту і які не передбачені Правилами, у робочому порядку.

1.10. Керівник організації забезпечує виконання вимог щодо захисту інформації в ній.

2.1. Система захисту охоплює всі етапи розроблення, впровадження та експлуатації програмно-технічних комплексів СЕП та інформаційних задач і визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

2.2. Система захисту разом з програмно-технічними комплексами забезпечує:

захист від несанкціонованої модифікації та несанкціонованого ознайомлення зі змістом електронних банківських документів на будь-якому етапі їх оброблення;

автоматичне ведення захищеного від несанкціонованої модифікації протоколу оброблення електронних банківських документів з метою визначення причин появи порушень роботи програмно-технічних комплексів;

захист від втручання працівників організацій і Національного банку у зміст електронних банківських документів після їх формування та захист від несанкціонованого втручання в їх оброблення;

автоматичний контроль на кожному етапі оброблення електронних банківських документів.

2.3. Службові особи організації, які відповідають за захист електронних банківських документів, зобов'язані надавати письмові або усні відомості про стан засобів захисту та їх використання, а також про стан захисту інформації в програмному забезпеченні САБ (у тому числі системи "клієнт-банк", а також інших систем, на які поширюються вимоги Національного банку щодо інформаційної безпеки), технологію оброблення електронних банківських документів в організації та систему захисту інформації під час їх оброблення на вимогу Департаменту інформаційної безпеки або його регіональних підрозділів.

2.4. Організація, яка отримала засоби захисту, не має права передавати їх іншим організаціям або особам, у тому числі й іншим організаціям однієї юридичної особи.

2.5. Організація, яка отримала засоби захисту, не має права використовувати їх в інших платіжних системах банків, у територіально відокремлених відділеннях (філіях) банків, якщо ці відділення (філії) не є безпосередніми учасниками СЕП та/або інформаційних задач, зокрема, якщо їх працівники працюють у САБ банку (філії), системах "клієнт-банк" тощо.

2.6. Організація зобов'язана повідомляти регіональний підрозділ Департаменту інформаційної безпеки про порушення роботи із засобами захисту протягом одного робочого дня. Орієнтований перелік порушень в організації роботи із засобами захисту інформації Національного банку України наведено в додатку 2.

3.1. Організація, яка використовує засоби захисту, зобов'язана мати приміщення, у яких обробляються електронні банківські документи, використовуються та зберігаються в неробочий час засоби захисту, які відповідають вимогам цієї глави.

3.2. Організація зобов'язана розмістити АРМ-СЕП у спеціально виділеному для цього приміщенні з обмеженим доступом, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або системою доступу, яка забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному електронному журналі.

Організація має право розміщувати АРМ-НБУ в приміщенні з АРМ-СЕП або в окремому приміщенні з обмеженим доступом, за винятком приміщення адміністратора захисту інформації, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або системою доступу, яка забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному електронному журналі.

Організація має право розміщувати АРМ-СЕП та АРМ-НБУ на одній ПЕОМ.

Організація має право розміщувати ПЕОМ з АРМ-СЕП та АРМ-НБУ в серверному приміщенні, якщо цей програмно-апаратний комплекс працює в автоматичному режимі. У цьому разі адміністратор АРМ-СЕП зобов'язаний реагувати на інформаційні повідомлення, які надсилаються на АРМ-СЕП.

3.3. Організація зобов'язана оснастити вікно (вікна) у приміщенні АРМ-СЕП ґратами, якщо воно:

внутрішнє і виходить в інше приміщення або коридор організації;

зовнішнє і розташовується на першому чи останньому поверсі організації;

зовнішнє і розташовується на інших поверхах організації, до яких є доступ з прилеглих об'єктів.

3.4. Організація зобов'язана обладнати приміщення з АРМ-СЕП/АРМ-НБУ системою охоронної сигналізації з двома рубежами захисту:

перший - установлення сигналізації по периметру;

другий - установлення відповідного обладнання для стеження за переміщенням об'єктів у приміщенні.

3.5. Організація зобов'язана встановити в приміщенні з АРМ-СЕП/АРМ-НБУ сейфи (металеві шафи), призначені для зберігання в неробочий час засобів захисту і документів до них.

3.6. Адміністратор захисту інформації зобов'язаний обліковувати ключі від сейфів (металевих шаф) і печатки для їх опечатування в журналі обліку адміністратора захисту інформації (розділи 5 і 6 додатка 3).

3.7. Адміністратор АРМ-СЕП/АРМ-НБУ, який заступив на зміну, зобов'язаний:

зберігати ключі від вхідних дверей приміщення з АРМ-СЕП/АРМ-НБУ і сейфів (металевих шаф) у робочий час;

замикати або блокувати системою доступу приміщення з АРМ-СЕП/АРМ-НБУ у разі своєї відсутності.

3.8. Адміністратор АРМ-СЕП/АРМ-НБУ має право зберігати ключі від сейфів (металевих шаф) адміністратора АРМ-СЕП/АРМ-НБУ в опечатаному вигляді в приміщенні з АРМ-СЕП/АРМ-НБУ.

3.9. Організація зобов'язана призначати працівників, які мають допуск до приміщення з АРМ-СЕП/АРМ-НБУ, розпорядчим документом, у якому повинні зазначатися всі відповідальні особи і засоби захисту, які вони використовують.

Адміністратор захисту інформації обліковує призначених осіб у журналі обліку адміністратора захисту інформації (розділ 4 додатка 3).

3.10. Право допуску до приміщення з АРМ-СЕП/АРМ-НБУ мають:

керівник організації (або особа, яка виконує його обов'язки);

заступник керівника організації, який призначений відповідальним за організацію захисту електронної банківської інформації;

адміністратори АРМ-СЕП/АРМ-НБУ;

адміністратори захисту інформації;

інші працівники організації, які обслуговують приміщення й АРМ-СЕП/АРМ-НБУ.

3.11. Працівники служби захисту інформації організації (якщо вони не призначені розпорядчим документом організації як відповідальні особи за роботу із засобами захисту) мають право доступу до приміщення з АРМ-СЕП/АРМ-НБУ лише для вирішення питань, що належать до їх компетенції.

3.12. Працівники організації, які мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ, зобов'язані перебувати в приміщенні з АРМ-СЕП/АРМ-НБУ тільки під час виконання своїх обов'язків, що пов'язані з роботою АРМ-СЕП/АРМ-НБУ, і лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ, який заступив на зміну.

Працівники організації мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ на підставі усного розпорядження керівника організації (або особи, яка виконує його обов'язки) лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ для вирішення окремих питань.

3.13. Організація зобов'язана розміщувати АРМ-СЕП та АРМ бухгалтера САБ в окремих приміщеннях з обмеженим доступом.

3.14. Організація подає до регіонального підрозділу Департаменту інформаційної безпеки заяву про проведення перевірки виконання режимних вимог до приміщень перед отриманням засобів захисту.

3.15. Організація зобов'язана повідомляти регіональний підрозділ Департаменту інформаційної безпеки, який надав засоби захисту, про зміну свого місцезнаходження та місця розташування АРМ-СЕП/АРМ-НБУ протягом трьох робочих днів з часу настання цих змін.

Департамент інформаційної безпеки зобов'язаний організувати перевірку виконання режимних вимог до приміщень протягом п'яти робочих днів із дня надходження цього повідомлення зі складанням відповідної довідки.

3.16. Організація зобов'язана розмістити робоче місце адміністратора захисту інформації в окремому приміщенні з обмеженим доступом та обладнати його сейфом для зберігання засобів захисту, справ і журналу обліку адміністратора захисту інформації тощо. Це приміщення повинно обладнуватися системою охоронної сигналізації з одним рубежем захисту та в неробочий час опечатуватися.

3.17. Організація зобов'язана обладнати робоче місце адміністратора захисту інформації ПЕОМ, яка не підключена до локальної мережі організації, для копіювання ПМГК і генерування ключів відповідальними особами.

3.18. Організація зобов'язана розмістити інші робочі місця САБ, на яких використовуються засоби захисту, у приміщеннях з обмеженим доступом, які обладнані сейфом оператора робочого місця для зберігання ТК.

3.19. Організація має право розміщувати АРМ бухгалтера САБ у будь-якому приміщенні організації з обмеженим доступом, за винятком кімнати з АРМ-СЕП і приміщення адміністратора захисту інформації.

3.20. Організація зобов'язана обладнати сейфи, які використовуються для зберігання засобів захисту, місцем для опечатування.

Сейф з кодовим замком також має обладнуватися місцем для опечатування, що дасть змогу виявляти спроби його несанкціонованого відкривання.

3.21. Організація зобов'язана забезпечити надійне кріплення сейфа для зберігання засобів захисту, який має вагу менше ніж 100 кг і хоча б один з габаритів якого менший, ніж 500 мм, до підлоги, стіни тощо.

3.22. Організація має право використовувати багатосекційний сейф для зберігання засобів захисту за умови, що секція має дверцята з індивідуальним замком і місцем для опечатування.

3.23. Організація має право використовувати секції металевих шаф, які обладнані двома замками, для зберігання ТК. Відповідальна особа зберігає ключ від одного замка, адміністратор захисту інформації - від другого.

3.24. Адміністратор захисту інформації зобов'язаний обліковувати ключі від сейфів (металевих шаф), у яких зберігаються засоби захисту, у журналі обліку адміністратора захисту інформації (розділ 5 додатка 3).

3.25. Організація зобов'язана здійснити заміну відповідного замка або сейфа і провести службове розслідування в разі втрати ключів від сейфів (металевих шаф), у яких зберігаються засоби захисту.

Адміністратор захисту інформації зобов'язаний зберігати матеріали розслідування у справах адміністратора захисту інформації.

3.26. Керівник організації відповідає за виконання режимних вимог до приміщень.

4.1. Система захисту інформації Національного банку створена для забезпечення конфіденційності та цілісності електронної інформації, а також суворої автентифікації учасників СЕП, учасників інформаційних задач і фахівців організацій, які беруть участь у підготовці й обробленні електронних документів.

Для здійснення суворої автентифікації організації застосовується система ідентифікації користувачів, яка є основою системи розподілу ключової інформації.

Організація для забезпечення захисту інформації має трибайтний унікальний ідентифікатор, перший знак якого є літерою відповідної території, на якій він розташований, другий і третій є унікальними ідентифікаторами організації у межах цієї території.

Трибайтний ідентифікатор має бути узгоджений з адресою системи ЕП і бути унікальним для кожної організації. Трибайтний ідентифікатор організації записується в ПМГК та АКЗІ, який надається організації та не може бути нею змінений, що забезпечує захист від підроблення ключової інформації від імені іншої організації.

Трибайтний ідентифікатор організації є складовою частиною ідентифікатора ключа криптографічного захисту, що складається із шести символів, з яких перші три є ідентифікаторами організації, четвертий визначає тип робочого місця учасника СЕП (операціоніст, бухгалтер тощо) або тип інформаційної задачі, п'ятий і шостий - ідентифікатор робочого місця або відповідальної особи.

4.2. Для забезпечення захисту інформації від модифікації з одночасною суворою автентифікацією та безперервного захисту електронних банківських документів з часу їх формування система захисту СЕП уключає механізми формування (перевірки) ЕЦП на базі несиметричних алгоритмів RSA та ДСТУ 4145-2002.

4.3. АРМ-СЕП/АРМ-НБУ забезпечує конфіденційність електронних банківських документів, що містять конфіденційну інформацію, за допомогою апаратного/програмного шифрування всіх файлів/пакетів, які обробляються.

АРМ-СЕП і АРМ-НБУ є єдиними програмно-апаратними комплексами, які забезпечують обмін електронною інформацією в СЕП та інформаційних задачах.

Організація зобов'язана виконувати системні вимоги до ПЕОМ та інструкції щодо налаштування комплексів АРМ-СЕП і АРМ-НБУ.

4.4. АРМ-СЕП уключає вбудовані засоби захисту, що забезпечують конфіденційність і цілісність інформації під час її пересилання каналами зв'язку. Убудовані засоби захисту інформації забезпечують два режими роботи АРМ-СЕП - з використанням апаратних і програмних засобів захисту.

4.5. АРМ-НБУ включає вбудовані програмні засоби захисту, які забезпечують програмне шифрування.

4.6. Використання стандартизованих криптографічних алгоритмів у вбудованих засобах захисту гарантує задану криптостійкість. Криптографічні алгоритми не становлять таємниці. Криптостійкість засобів захисту забезпечується криптостійкістю алгоритмів та ключової інформації і ключів, тому інформація про це належить до інформації з обмеженим доступом, яка має гриф "Банківська таємниця" і розголошенню не підлягає.

4.7. Національний банк виконує побудову ключової системи криптографічного захисту. Ця система складається з ключів програмних засобів захисту, що генеруються в організаціях за допомогою наданих ПМГК, і ключів апаратних засобів захисту, які генеруються безпосередньо за допомогою АРМ-СЕП.

4.8. Організація, яка використовує засоби захисту, зобов'язана виконувати організаційні вимоги щодо їх отримання, використання та зберігання і своєчасної заміни відповідних ключів до них.

Регіональний підрозділ Департаменту інформаційної безпеки має право вилучати з організації засоби захисту в разі невиконання вимог щодо використання та зберігання засобів захисту і режимних вимог до приміщень.

4.9. Організація забезпечує захист електронних документів за допомогою таких засобів захисту:

а) апаратно-програмні засоби захисту для СЕП:

АКЗІ;

СК;

програмне забезпечення керування АКЗІ (убудоване в АРМ-СЕП і не може бути вилучене);

б) програмні засоби захисту для СЕП та інформаційних задач:

програмний модуль для шифрування (убудований в АРМ-СЕП та АРМ-НБУ);

ПМГК (з відповідними незаповненими ТВК);

бібліотеки накладання/перевірки ЕЦП (Національний банк надає безкоштовно всім організаціям, які використовують засоби захисту, для вбудовування в програмне забезпечення САБ або інше відповідне програмне забезпечення).

4.10. Основними засобами в АРМ-СЕП є АКЗІ.

Генерація ключової пари (ТК та ВК) для АКЗІ відповідно до алгоритму ДСТУ 4145-2002 здійснюється на комп'ютері, де розміщується АРМ-СЕП, за допомогою програмного забезпечення керування АКЗІ, що вбудоване в АРМ-СЕП. Для забезпечення безперебійної роботи АРМ-СЕП з апаратурою захисту ТК повинен записуватися на дві смарт-картки (основну та резервну). Ключова інформація під час роботи АКЗІ використовується виключно на рівні смарт-картки, що унеможливлює підроблення та перехоплення ключової інформації.

Адміністратор АРМ-СЕП зобов'язаний здійснити перехід до роботи з програмними засобами захисту в разі виходу з ладу АКЗІ.

4.11. Регіональний підрозділ Департаменту інформаційної безпеки надає організації АКЗІ разом із СК та/або ПМГК відповідно до встановленого порядку (глава 6 цих Правил).

4.12. Вимоги глави 7 цих Правил "Порядок роботи з апаратними засобами захисту" не стосуються організацій, які не беруть безпосередньої участі в СЕП.

4.13. Адміністратор захисту інформації організації здійснює зняття копії з ПМГК, а також знищення копії ПМГК. Знищення виконується методом, що унеможливлює її відновлення (наприклад, за допомогою подвійного переформатування дискети).

4.14. За допомогою ПМГК організація має змогу генерувати ключову пару (ТК та ВК) відповідно до алгоритму RSA для всіх робочих місць, де працюють з електронними банківськими документами. Кожен ТК робочого місця обов'язково має бути захищений особистим паролем відповідальної особи, яка працює з цим ключем.

Для забезпечення захисту ключової інформації від несанкціонованої модифікації ВК мають надсилатися до Департаменту інформаційної безпеки для сертифікації (крім ВК для робочих місць операціоністів, що використовуються лише в САБ).

Департамент інформаційної безпеки здійснює сертифікацію ВК та надсилає засобами системи ЕП на адресу організації відповідні сертифікати ВК. Організація зобов'язана вжити заходів щодо своєчасного оновлення ТВК відповідно до експлуатаційної документації для АРМ-СЕП та інформаційних задач.

4.15. Регіональний підрозділ Департаменту інформаційної безпеки перевіряє порядок зберігання та використання ПМГК.

4.16. В організації використовуються такі засоби захисту:

Примітка

Засоби захисту, які зазначені в рядках 1, 2, 5, 7, 8, 9 таблиці, використовуються лише в організаціях - безпосередніх учасниках СЕП.

4.17. Регіональний підрозділ Департаменту інформаційної безпеки, за місцезнаходженням організації, вирішує усі питання, які пов'язані з організацією захисту інформації за допомогою засобів захисту.

Регіональний підрозділ Департаменту інформаційної безпеки надає консультації щодо супроводження АРМ-СЕП/АРМ-НБУ, а також технологічного процесу проходження електронних платежів у СЕП та електронних документів в інформаційних задачах.

5.1. Для підвищення ступеня захисту електронних банківських документів у СЕП використовується технологічний контроль, який реалізовується програмно-технічними комплексами на всіх рівнях їх оброблення, що дає змогу контролювати здійснення розрахунків протягом банківського дня, а також виконувати їх звірку в кінці банківського дня.

Технологічні засоби контролю включають:

механізм обміну електронними підтвердженнями, який дає змогу однозначно ідентифікувати отримання адресатом будь-якого файла або пакета електронних банківських документів у СЕП;

механізм інформування банку - учасника СЕП щодо поточного стану його кореспондентського рахунку за підсумками циклів оброблення платежів у ЦОСЕП, щодо поточного стану його технічного рахунку;

взаємообмін між банком і ЦОСЕП технологічною інформацією за підсумками банківського дня з переліком відображених за технічним рахунком міжбанківських електронних розрахункових документів, що оброблені засобами СЕП у файловому режимі та режимі реального часу, що дає змогу здійснювати їх програмне звіряння як у ЦОСЕП, так і в банку;

засоби самодіагностики, які дають змогу виявляти порушення цілісності баз даних програмного забезпечення ЦОСЕП, псування яких може виникнути внаслідок порушень функціонування СЕП, спроб несанкціонованого доступу або фізичного псування баз даних;

механізм резервування та відновлення з процедурами контролю цілісності та актуальності інформації під час відновлення роботи ЦОСЕП;

технологічну інформацію ЦОСЕП про стан технічних рахунків і функціонування СЕП за підсумками банківського дня.

Технологічні засоби контролю, вбудовані в програмно-технічні комплекси СЕП, не можуть бути відключені. У разі виникнення нестандартної ситуації або підозри щодо несанкціонованого доступу ЦОСЕП автоматично формує повідомлення для оперативного реагування адміністратором ЦОСЕП.

5.2. Основним засобом шифрування файлів (пакетів) СЕП є АКЗІ. Робота АКЗІ контролюється вбудованими в ЦОСЕП і АРМ-СЕП програмними засобами захисту інформації і забезпечує апаратне шифрування (розшифрування) інформації за стандартом ДСТУ ГОСТ 28147:2009.

Як резервний засіб шифрування в СЕП використовується вбудована в ЦОСЕП і АРМ-СЕП функція програмного шифрування. Для кожного файла (пакета) СЕП, що обробляється АРМ-СЕП, генерується одноразовий ключ шифрування для алгоритму ДСТУ ГОСТ 28147:2009, який обробляється відповідно до стандарту ISO 11166-94 і додається до повідомлення в зашифрованому вигляді.

Засоби шифрування ЦОСЕП і АРМ-СЕП (як АКЗІ, так і програмне шифрування) забезпечують сувору автентифікацію відправника та отримувача електронного банківського документа, цілісність кожного документа в результаті неможливості його підроблення або несанкціонованого модифікування в шифрованому вигляді та унеможливлюють виконання розшифрування повідомлення будь-ким, крім його дійсного отримувача.

АРМ-СЕП і ЦОСЕП у режимі реального часу забезпечують додаткову сувору взаємну автентифікацію під час установлення сеансу зв'язку.

Під час роботи АРМ-СЕП створює шифровані архіви оброблених електронних банківських документів та захищений від модифікації протокол роботи АРМ-СЕП, у якому фіксуються всі дії, що ним виконуються, із зазначенням дати та часу оброблення електронних банківських документів. Наприкінці банківського дня шифровані архіви та протокол роботи АРМ-СЕП підлягають збереженню в архіві. Розшифрування інформації, що зберігається в архіві, здійснюється лише шляхом застосування ключа, який зберігається в Національному банку.

5.3. Департамент інформаційної безпеки надає банкам (філіям) інформаційні послуги щодо достовірності інформації за електронними банківськими документами у разі виникнення спорів.

Департамент інформаційної безпеки розшифровує копію шифрованого архіву учасника СЕП за його наявності та з абсолютною достовірністю визначає:

ідентифікатор банку - учасника СЕП, який надіслав (зашифрував) електронний банківський документ;

ідентифікатор банку - учасника СЕП, якому адресовано електронний банківський документ;

дату, годину та хвилину виконання шифрування електронного банківського документа;

дату, годину та хвилину розшифрування електронного банківського документа;

відповідність усіх електронних цифрових підписів, якими був захищений від модифікації електронний банківський документ.

Під час використання АКЗІ додатково визначаються:

номер апаратури захисту, на якій виконувалося шифрування або розшифрування електронного банківського документа;

номер смарт-картки, якою користувалися під час шифрування або розшифрування електронного банківського документа.

Департамент інформаційної безпеки надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо учасники СЕП:

кожного робочого дня формують і надійно зберігають архіви роботи АРМ-СЕП, до яких мають входити журнали програмного та апаратного шифрування та захищені від модифікації протоколи роботи АРМ-СЕП;

подають копії архівів АРМ-СЕП за відповідний банківський день.

Департамент інформаційної безпеки надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо між учасниками СЕП виникли спори з питань, пов'язаних з електронними банківськими документами, у разі:

невиконання автентифікації або розшифрування електронного банківського документа;

відмови від факту одержання електронного банківського документа;

відмови від факту формування та надсилання електронного банківського документа;

ствердження, що одержувачу надійшов електронний банківський документ, а насправді він не надсилався;

ствердження, що електронний банківський документ був сформований та надісланий, а він не формувався або було надіслане інше повідомлення;

виникнення спору щодо змісту одного й того самого електронного банківського документа, сформованого та надісланого відправником і одержаного та правильно автентифікованого одержувачем;

роботи з архівом учасника СЕП під час проведення ревізій тощо.

Департамент інформаційної безпеки надає учасникам СЕП письмові відповіді щодо порушених питань.

6.1. Відповідальна особа організації зобов'язана прибути до регіонального підрозділу Департаменту інформаційної безпеки з документами, які засвідчують особу та надають право на отримання/заміну засобів захисту.

6.2. Документ на отримання/заміну засобів захисту скріплюється відбитком печатки організації.

Регіональний підрозділ Департаменту інформаційної безпеки зберігає цей документ.

6.3. Фінансові, матеріально-технічні та інші служби організації не мають права обліковувати засоби захисту, які отримані, у бухгалтерському обліку та звітності.

6.4. Регіональний підрозділ Департаменту інформаційної безпеки зберігає один примірник, а організація - другий примірник акта про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 4), за яким АКЗІ разом із смарт-картками передаються в організацію. ПМГК передаються організації згідно із супровідним листом.

6.5 Адміністратор захисту інформації зобов'язаний після отримання засобів захисту зробити відповідний запис у журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

7.1. Адміністратор захисту інформації зобов'язаний передати АКЗІ адміністратору АРМ-СЕП, який перебуває на зміні, і зафіксувати це в журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

Адміністратор АРМ-СЕП зобов'язаний отримати АКЗІ та зробити відповідний запис у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5).

Адміністратор АРМ-СЕП зобов'язаний установити АКЗІ та забезпечити постійне її підключення до ПЕОМ, у якій розташований програмно-апаратний комплекс АРМ-СЕП.

7.2. Адміністратор АРМ-СЕП, який перебуває на зміні, зобов'язаний перед уведенням АКЗІ в роботу забезпечити виконання всіх вимог до технічних умов експлуатації АКЗІ, які наведені в документації до неї.

7.3. Адміністратор АРМ-СЕП зобов'язаний згенерувати ТК АКЗІ за допомогою програмно-апаратного комплексу АРМ-СЕП для введення АКЗІ в експлуатацію і записати копію ТК АКЗІ АРМ-СЕП на другу (резервну) СК під час генерації ключів.

Адміністратор захисту інформації надсилає ВК АКЗІ на сертифікацію до Національного банку.

Адміністратор АРМ-СЕП уводить АКЗІ в експлуатацію після отримання сертифіката ВК, автоматичного включення його до ТВК АКЗІ та здійснення відповідних налаштувань АРМ-СЕП.

7.4. Адміністратори АРМ-СЕП зобов'язані передавати АКЗІ між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5), який вони ведуть і зберігають у приміщенні з АРМ-СЕП.

7.5. Адміністратор АРМ-СЕП зобов'язаний здійснити заміну АКЗІ разом із СК у разі її виходу з ладу або на вимогу регіонального підрозділу Департаменту інформаційної безпеки.

7.6. Адміністратор захисту інформації організації в разі виходу АКЗІ з ладу в процесі експлуатації зобов'язаний:

а) повідомити засобами електронної пошти Центральну розрахункову палату Національного банку про перехід на резервні програмні засоби захисту;

б) забезпечити переведення АРМ-СЕП на роботу з програмними засобами захисту за допомогою відповідного настроювання АРМ-СЕП за погодженням з Центральною розрахунковою палатою Національного банку;

в) забезпечити продовження роботи АРМ-СЕП у звичайному режимі з використанням програмних засобів захисту;

г) забезпечити доставку до регіонального підрозділу Департаменту інформаційної безпеки:

АКЗІ разом з усіма наявними СК (із записом їх номерів) згідно з актом про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 4), один примірник якого зберігає регіональний підрозділ Департаменту інформаційної безпеки, другий - організація;

СК із записом їх номерів в акті про приймання-передавання засобів захисту;

ґ) зробити відмітку про повернення АКЗІ, що виведена з експлуатації, у журналі обліку адміністратора захисту інформації (розділ 2 додатка 4);

д) отримати новий комплект АКЗІ разом із СК;

е) повідомити засобами електронної пошти Центральну розрахункову палату Національного банку про готовність до переходу на апаратні засоби захисту після отримання АКЗІ і генерації ключів АКЗІ. Перехід на апаратні засоби захисту повинен здійснюватися лише на початку банківського дня за погодженням з Центральною розрахунковою палатою Національного банку;

є) узгодити подальші дії з Центральною розрахунковою палатою Національного банку в разі виникнення збоїв у роботі АКЗІ під час відкривання банківського дня (на стадії переходу на роботу з використанням АКЗІ);

ж) провести відповідне службове розслідування в разі пошкодження АКЗІ та СК, копію матеріалів якого подати до регіонального підрозділу Департаменту інформаційної безпеки.

7.7. Адміністратор захисту інформації в разі втрати АКЗІ або СК зобов'язаний:

а) ужити заходів щодо переведення АРМ-СЕП на роботу з програмними засобами захисту і отримання нового комплекту АКЗІ та СК, що передбачені пунктом 7.6 цієї глави;

б) провести відповідне службове розслідування, копію матеріалів якого подати до регіонального підрозділу Департаменту інформаційної безпеки.

7.8. Адміністратор захисту інформації в разі пошкодження голографічної наклейки на АКЗІ зобов'язаний:

а) вивести АКЗІ з експлуатації;

б) ужити заходів, що передбачені пунктом 7.6 цієї глави;

в) провести відповідне службове розслідування, копію матеріалів якого подати до регіонального підрозділу Департаменту інформаційної безпеки.

7.9. Адміністратор АРМ-СЕП зобов'язаний зберігати СК для АКЗІ у сейфі в неробочий час і в робочий час, якщо вони не використовуються в роботі.

7.10. Адміністратори АРМ-СЕП зобов'язані передавати СК між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5), який вони ведуть і зберігають у приміщенні з АРМ-СЕП.

7.11. Адміністратор АРМ-СЕП зобов'язаний перейти на роботу з резервною СК у разі виходу з ладу СК і звернутися до регіонального підрозділу Департаменту інформаційної безпеки для її заміни.

Адміністратор АРМ-СЕП зобов'язаний вивести АКЗІ з експлуатації в разі виходу з ладу й резервної СК, а адміністратор захисту інформації - ужити заходів, передбачених у пункті 7.6 цієї глави.

7.12. Адміністратор АРМ-СЕП зобов'язаний здійснювати своєчасну генерацію ключа АКЗІ у зв'язку із закінченням строку його дії.

8.1. Адміністратор захисту інформації після отримання ПМГК зобов'язаний:

а) зняти копію ПМГК за допомогою засобів, які є на дискеті з ПМГК;

б) зареєструвати ПМГК і його копію в журналі обліку адміністратора захисту інформації (розділи 2, 7 додатка 3);

в) здійснити перевірку ПМГК та його копії шляхом пробної генерації ключів;

г) забезпечити генерацію ключів для всіх робочих місць в організації, у якій використовуються засоби захисту.

8.2. Адміністратор захисту інформації в разі негативних результатів перевірки ПМГК зобов'язаний:

а) повідомити про це засобами електронної пошти Національного банку регіональний підрозділ Департаменту інформаційної безпеки протягом одного робочого дня і діяти відповідно до його рекомендацій;

б) повернути до регіонального підрозділу Департаменту інформаційної безпеки ПМГК разом із супровідним листом у паперовій формі. У листі повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення ПМГК;

в) зареєструвати ПМГК, що не пройшов перевірки, у журналі обліку адміністратора захисту інформації (додаток 3) з відповідним записом про його повернення до регіонального підрозділу Департаменту інформаційної безпеки;

г) знищити копію ПМГК, що не пройшов перевірки.

8.3. Адміністратори захисту інформації зобов'язані передавати ПМГК і його робочу копію між собою з фіксуванням у журналі обліку адміністратора захисту інформації (розділ 7 додатка 3).

8.4. Адміністратор захисту інформації зобов'язаний зберігати ПМГК і його робочу копію в неробочий час і в робочий час, якщо він не використовується в роботі, у сейфі. Адміністратор захисту інформації зобов'язаний замкнути й опечатати сейф відбитком особистої печатки.

8.5. Організація зобов'язана повернути ПМГК до регіонального підрозділу Департаменту інформаційної безпеки разом із супровідним листом у паперовій формі після завершення строку використання (Національний банк установлює дату). У цьому листі повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення.

Організація зобов'язана знищити робочу копію ПМГК (якщо немає інших вимог Національного банку) на місці методом, який унеможливлює її відновлення (наприклад, шляхом фрагментарного подрібнення гнучкого магнітного диску), і скласти акт про знищення засобів захисту інформації Національного банку України (додаток 6). Регіональний підрозділ Департаменту інформаційної безпеки зберігає один примірник цього акта або оригінал, організація - другий або копію.