• Посилання скопійовано
Документ підготовлено в системі iplex

Про затвердження Правил організації захисту електронних банківських документів

Національний банк України  | Постанова, Форма типового документа, Правила від 10.06.1999 № 280 | Документ не діє
Реквізити
  • Видавник: Національний банк України
  • Тип: Постанова, Форма типового документа, Правила
  • Дата: 10.06.1999
  • Номер: 280
  • Статус: Документ не діє
  • Посилання скопійовано
Реквізити
  • Видавник: Національний банк України
  • Тип: Постанова, Форма типового документа, Правила
  • Дата: 10.06.1999
  • Номер: 280
  • Статус: Документ не діє
Документ підготовлено в системі iplex
8.4. Порядок роботи з таємним ключем АРМ-НБУ.
8.4.1. Генерацію ключів АРМ-НБУ здійснює будь-який з адміністраторів АРМ-НБУ в присутності адміністратора захисту інформації. При генерації обов'язковим є встановлення пароля для таємного ключа АРМ-НБУ.
8.4.2. Безпосередньо після генерації ключів необхідно:
зняти копію таємного ключа АРМ-НБУ (якщо це обумовлено наказом по банківській установі). Копія таємного ключа АРМ-НБУ розміщується в конверті, який опечатується печаткою адміністратора захисту інформації та печаткою адміністратора АРМ-НБУ. У разі відсутності печатки адміністратор АРМ-НБУ власноручно підписує цей конверт. Умови зберігання визначаються адміністратором захисту інформації та затверджуються наказом. Цілісність упаковки кожного робочого дня перевіряється адміністратором захисту інформації протягом всього часу зберігання копії цього таємного ключа;
зареєструвати таємний ключ АРМ-НБУ і його копію в розділі 3 журналу обліку адміністратора захисту інформації (додаток 22);
адміністратору АРМ-НБУ, що працює на зміні, отримати таємний ключ АРМ-НБУ (та в разі потреби - його копію) за журналом обліку адміністратора захисту інформації - розділ 3 (додаток 22);
зареєструвати таємний ключ АРМ-НБУ (та в разі потреби - його копію) у розділі 1 журналу обліку адміністратора АРМ-НБУ (додаток 29);
адміністратору захисту інформації відправити відкритий ключ АРМ-НБУ на сертифікацію до управління захисту інформації НБУ;
увести таємний ключ АРМ-НБУ в роботу в установленому порядку.
8.4.3. Зберігання таємного ключа АРМ-НБУ (та в разі потреби - його копії) в неробочий час, у тому числі під час перерви на обід, здійснюється в сейфі адміністратора АРМ-НБУ. При цьому сейф має бути закритий і опечатаний печаткою адміністратора АРМ-НБУ, який працює на зміні.
8.4.4. Передача таємного ключа АРМ-НБУ (та в разі потреби - його копії) між адміністраторами АРМ-НБУ здійснюється за розділом 1 журналу обліку адміністратора АРМ-НБУ (додаток 29).
8.4.5. Строк дії ключа АРМ-НБУ встановлюється управлінням захисту інформації НБУ під час сертифікації відкритого ключа.
Після закінчення цього строку обробка електронної інформації за допомогою АРМ-НБУ стає неможливою.
Необхідно здійснювати контроль за строком використання ключа АРМ-НБУ, уважно стежити за повідомленнями АРМ-НБУ, своєчасно виконувати генерацію і сертифікацію чергових ключів АРМ-НБУ, щоб уникнути невиправданої зупинки роботи банківської установи в СЕП НБУ.
8.4.6. Після виведення з дії таємний ключ АРМ-НБУ і його копія знищуються в банківській установі з відповідним записом у розділі 3 журналу обліку адміністратора захисту інформації (додаток 22).
При цьому таємний ключ АРМ-НБУ в архів не заноситься.
8.4.7. У разі псування ГМД з таємним ключем АРМ-НБУ до завершення робочого циклу використання потрібно:
зняти повторно копію таємного ключа АРМ-НБУ;
внести необхідні зміни в розділ 3 журналу обліку адміністратора захисту інформації (додаток 22).
8.4.8. У разі компрометації таємного ключа АРМ-НБУ необхідно:
негайно припинити використання скомпрометованого таємного ключа АРМ-НБУ в СЕП НБУ;
негайно поінформувати про це електронною поштою службу захисту інформації регіонального управління НБУ;
згенерувати новий ключ АРМ-НБУ і надалі здійснювати заходи, передбачені пп.8.4.2, 8.4.6 Правил;
провести службове розслідування, копії матеріалів якого подати до служби захисту інформації регіонального управління НБУ.
8.4.9. Якщо адміністратор АРМ-НБУ, який безпосередньо працював з таємним ключем АРМ-НБУ, звільняється з банківської установи або переходить у цій же банківській установі на іншу ділянку роботи, то потрібно негайно, не припиняючи при цьому роботи банківської установи в СЕП НБУ, здійснити генерацію нового ключа АРМ-НБУ і надалі здійснювати заходи, передбачені пп.8.4.2, 8.4.6 Правил.
8.5. Порядок роботи з таємними ключами АРМ бухгалтера, операціоністів та інших робочих місць САБ
8.5.1. Генерацію ключів здійснює кожна відповідальна особа для себе в присутності адміністратора захисту інформації. При генерації обов'язковим є встановлення пароля для таємного ключа.
8.5.2. Безпосередньо після генерації ключів необхідно:
зняти копію таємних ключів (якщо це обумовлено наказом по банківській установі і тільки для АРМ бухгалтера). Копія таємного ключа АРМ бухгалтера розміщується в конверті, який опечатується печаткою адміністратора захисту інформації та печаткою відповідальної особи. У разі відсутності печатки відповідальна особа власноручно підписує цей конверт. Умови зберігання визначаються адміністратором захисту інформації та затверджуються наказом. Цілісність упаковки перевіряється кожного робочого дня адміністратором захисту інформації протягом всього часу зберігання копії цього таємного ключа;
зареєструвати таємні ключі (і їх копії) у розділі 3 журналу обліку адміністратора захисту інформації (додаток 22);
відповідальній особі отримати свій таємний ключ (і його копію) за розділом 3 журналу обліку адміністратора захисту інформації (додаток 22);
адміністратору захисту інформації відправити відкриті ключі (крім ключів операціоністів) на сертифікацію в управління захисту інформації НБУ;
занести відкриті ключі операціоністів в архів відкритих ключів;
ввести таємний ключ у роботу в установленому порядку.
8.5.3. Зберігання таємних ключів (та в разі потреби - їх копій) відповідальних осіб у неробочий час або в робочий час, якщо таємний ключ (та в разі потреби - його копія) не використовується в роботі, здійснюється в особистому сейфі відповідальної особи. При цьому сейф має бути закритий і опечатаний печаткою цієї особи.
8.5.4. У разі відсутності достатньої кількості особистих сейфів дозволяється зберігання всіх або частини таємних ключів у неробочий час у сейфі адміністратора захисту інформації.
Кожний таємний ключ зберігається у власній упаковці, опечатаній печаткою відповідної особи - власника цього ключа.
Копія таємного ключа має бути додатково опечатана і печаткою адміністратора захисту інформації (п.8.5.2 Правил).
Видача таємних ключів для роботи і зворотне приймання на зберігання здійснюється з реєстрацією в розділі 8 журналу обліку адміністратора захисту інформації (додаток 27).
При заступанні на зміну чергового адміністратора захисту робиться відповідний запис у журналі обліку адміністратора захисту інформації (додаток 27).
За наявності в сейфі таємних ключів він має бути закритий і опечатаний печаткою адміністратора захисту інформації, що працює на зміні.
8.5.5. Усі ключі мають обмежений строк дії, що встановлюється під час сертифікації відкритих ключів управлінням захисту інформації НБУ. Для ключів операціоністів, які не підлягають сертифікації, строк дії ключа становить 100 днів.
8.5.6. Після виведення з дії таємні ключі (та їх копії) знищуються в банківській установі з відповідним записом в розділі 3 журналу обліку адміністратора захисту (додаток 22).
При цьому таємні ключі до архіву електронних платежів не заносяться.
8.5.7. У разі псування ГМД з таємним ключем до завершення робочого циклу використання необхідно:
зняти повторно копію таємного ключа АРМ бухгалтера (в разі наявності копії) або здійснити генерацію ключів знову;
внести відповідні записи до розділу 3 журналу обліку адміністратора захисту інформації (додаток 22).
8.5.8. У разі компрометації таємного ключа потрібно:
припинити використання скомпрометованого таємного ключа;
поінформувати про це електронною поштою службу захисту інформації регіонального управління НБУ;
забезпечити за встановленим порядком (з допомогою ПМГК) вилучення скомпрометованих відкритих ключів операціоністів із таблиць відкритих ключів;
згенерувати нові ключі і надалі здійснювати заходи, передбачені пп.8.5.2, 8.5.6 Правил;
провести службове розслідування, копії матеріалів якого подати до служби захисту інформації регіонального управління НБУ.
8.5.9. Якщо відповідальна особа, яка має таємний ключ будь-якого робочого місця, звільняється з банківської установи або переходить у цій же банківській установі на іншу ділянку роботи, то необхідно негайно здійснити заходи, передбачені п.8.5.2 Правил, і забезпечити за встановленим порядком вилучення з роботи відповідних відкритих ключів.
8.6. Банківська установа може затвердити внутрішній порядок зберігання таємних ключів, виходячи з конкретних умов, що склалися в банківській установі, із суворим дотриманням вимог цього документа.
9. Відповідальні за роботу із засобами криптозахисту
9.1. Для роботи із засобами криптозахисту призначаються такі відповідальні особи:
адміністратор захисту інформації;
адміністратор АРМ-НБУ;
оператор АРМ бухгалтера;
операціоніст;
особи, відповідальні за роботу із засобами криптозахисту на робочих місцях інформаційних задач НБУ.
9.2. Призначення відповідальних за роботу із засобами криптозахисту і звільнення їх від цих обов'язків належить до компетенції керівництва банківської установи.
9.3. З урахуванням виконання вимог нормативних документів НБУ особи, відповідальні за роботу із засобами криптозахисту, можуть призначатися відповідно до штатного розпису або за сумісництвом.
9.4. Особи, відповідальні за роботу із засобами криптозахисту, зобов'язані виконувати вимоги нормативних документів НБУ, вказівки і розпорядження управління захисту інформації НБУ, служби захисту інформації регіонального управління НБУ, керівника банківської установи і підзвітні:
керівнику банківської установи (особі, яка виконує його обов'язки);
заступнику керівника банківської установи, який за своїми службовими обов'язками, обумовленими в посадовій інструкції або за окремим наказом по банківській установі, призначений відповідальним за організацію захисту електронної банківської інформації.
9.5. Відповідальні особи за роботу із засобами криптозахисту призначаються наказом по банківській установі (додаток 2).
9.6. Копія наказу "Про призначення відповідальних осіб за роботу із засобами криптозахисту..." (додаток 2) подається до служби захисту інформації регіонального управління НБУ.
Надалі копії наказів "Про призначення відповідальних осіб за роботу із засобами криптозахисту..." (або інші додаткові накази) подаються до служби захисту інформації регіонального управління НБУ тільки в разі нових призначень адміністраторів захисту інформації, адміністраторів АРМ-НБУ і операторів АРМ бухгалтера.
9.7. Допуск осіб, відповідальних за роботу із засобами криптозахисту на робочих місцях САБ, до самостійної роботи дозволяється після вивчення ними нормативних документів НБУ, інших документів з питань інформаційної безпеки. Ознайомлення з правилами роботи та зберігання таємних ключів здійснюється адміністратором захисту інформації банківської установи. Відповідальна особа має підписати "Зобов'язання" (додаток 3).
9.8. Допуск адміністраторів АРМ-НБУ до работи дозволяється після вивчення ними нормативних документів НБУ, інших документів з питань інформаційної безпеки та правил роботи з програмним забезпеченням АРМ-НБУ та апаратурою захисту АЗЕГО. Ознайомлення з правилами роботи та зберігання таємних ключів здійснюється адміністратором захисту інформації банківської установи та службою захисту інформації регіонального управління НБУ. Відповідальна особа має підписати "Зобов'язання адміністратора АРМ-НБУ" (додаток 4), до якого службою захисту інформації регіонального управління НБУ вноситься відмітка про перевірку знань та навиків роботи з АРМ-НБУ.
Якщо банківська установа працює тільки в інформаційних системах НБУ, то допуск адміністраторів АРМ-НБУ здійснюється адміністратором захисту інформації банківської установи, як і інших відповідальних осіб банківської установи (п.9.7 Правил та додаток 3).
9.9. Особа, яка наказом керівника банківської установи призначена адміністратором захисту інформації, має ознайомиться з нормативними документами НБУ з питань захисту інформації. Ознайомлення з нормативними документами НБУ та обов'язками адміністратора захисту інформації здійснюється службою захисту інформації регіонального управління НБУ. Адміністратор захисту інформації власноручно підписує "Зобов'язання адміністратора захисту інформації" (додаток 5), де службою захисту інформації регіонального управління НБУ вноситься відмітка про перевірку знань нормативних документів НБУ та обов'язків адміністратора захисту інформації.
Копія цього документа подається до служби захисту регіонального управління НБУ.
У разі неякісного виконання або невиконання своїх обов'язків адміністратором захисту інформації банківської установи служба захисту інформації регіонального управління НБУ має право звернутись до керівництва банківської установи з проханням призначити нового адміністратора захисту інформації.
9.10. Особи, відповідальні за роботу із засобами криптозахисту, повинні мати особисті печатки (можливе використання штампів, пломбіраторів та інш.) для опечатування засобів криптозахисту, сейфів і приміщення АРМ-НБУ.
Печатки (штампи, пломбіратори) мають бути зареєстровані в розділі 6 журналу обліку адміністратора захисту інформації (додаток 25).
Передача печаток (штампів, пломбіраторів) між відповідальними особами для тимчасового користування не допускається.
9.11. Якщо адміністратор АРМ-НБУ звільняється з банківської установи або переходить на іншу ділянку роботи, у т.ч. і пов'язану з вирішенням питань захисту електронної банківської інформації, то складається Акт про приймання-передавання засобів криптозахисту (додаток 6), здійснюються заходи, що передбачені п.8.4.9 Правил, і видається відповідний наказ по банківській установі.
Копія наказу подається до служби захисту інформації регіонального управління НБУ, копія акта не подається.
9.12. Якщо адміністратор захисту інформації звільняється з банківської установи або переходить на іншу ділянку роботи, у т.ч. і пов'язану з вирішенням питань захисту електронної банківської інформації, то складається акт про приймання-передавання засобів криптозахисту (додаток 6), здійснюються заходи, що передбачені п.7.13, 9.9 Правил, та по банківській установі видається відповідний наказ про звільнення цієї особи від обов'язків адміністратора захисту інформації. Копія наказу подається до служби захисту інформації регіонального управління НБУ, копія акта не подається.
9.13. У разі звільнення з банківської установи керівника, якщо він був призначений наказом адміністратором захисту інформації, Акт про приймання-передавання засобів криптозахисту затверджується заступником керівника банківської установи.
9.14. У разі запланованої відсутності адміністратора захисту інформації або адміністратора АРМ-НБУ (відпустка, навчання, відрядження тощо) вони мають здійснити передачу документів, засобів криптозахисту, ключів і печаток. Питання про потребу складання Акта в цьому разі вирішує керівник банківської установи.
9.15. У банківській установі має бути завчасно підготовлено і здійснено навчання такої кількості осіб, відповідальних за роботу із засобами криптозахисту:
Варіант "а"Варіант "б"
адміністратор захисту
адміністратор АРМ-НБУ
оператор АРМ бухгалтера
операціоністи
- 1 (2)
- 1 (2)
- 1 і більше
- 1 і більше
- 2 (3)
- 2 (3)
- 2 і більше
- 2 і більше
Варіант "а" застосовується при однозмінній роботі банківської установи.
Варіант "б" застосовується при двозмінній (півторазмінній) роботі банківської установи.
9.16. Відповідальні особи призначаються з розрахунку по одному відповідальному на зміну і по одному резервному відповідальному у разі відпусток, відряджень, хвороби, навчання тощо.
У разі відсутності основного відповідального резервний починає виконувати роботу із засобами криптозахисту без видання додаткового наказу. Службі захисту інформації регіонального управління НБУ про цю заміну не повідомляється.
Кількість операторів АРМ бухгалтера і операціоністів визначається керівником банківської установи з огляду на потреби банківської установи.
Зважаючи на ситуацію, що конкретно складається в банківській установі, керівник може при двозмінній роботі банківської установи зменшити кількість адміністраторів захисту інформації з трьох до двох. У цьому разі згідно з чинним законодавством установлюється індивідуальний розклад робочого дня зазначеної категорії відповідальних осіб.
9.17. У разі одночасної роботи в зміну двох відповідальних за роботу із засобами криптозахисту, які володіють однаковими правами (два адміністратори АРМ-НБУ, два адміністратори захисту інформації тощо), один з них має бути основним відповідальним, другий - резервним.
Основний відповідальний отримує за встановленим порядком засоби криптозахисту, працює з ними і несе відповідальність за їх зберігання.
Резервний відповідальний у разі виникнення потреби має право працювати з засобами криптозахисту лише після докуметального оформлення їх приймання від основного відповідального. У цьому разі особа, яка розписалася за засоби захисту, автоматично стає основним відповідальним.
9.18. Допускається збільшення кількості відповідальних осіб за роботу із засобами криптозахисту за погодженням зі службою захисту інформації обласного управління НБУ.
9.19. З метою дотримання вимог інформаційної безпеки при підборі відповідальних осіб для роботи із засобами криптозахисту треба керуватися таблицею суміщення функціональних обов'язків (додаток 32).
9.20. Адміністратор САБ та особи, відповідальні за розроблення і супроводження САБ, призначаються наказом по банківській установі (додаток 2).
10. Функціональні обов'язки відповідальних осіб
10.1. Функціональні обов'язки адміністратора захисту інформації.
Адміністратор захисту інформації повинен:
знати нормативні документи і вказівки служби захисту інформації НБУ та регіонального управління НБУ з питань організації захисту електронної банківської інформації та керуватися ними в повсякденній діяльності;
виконувати вимоги інформаційної безпеки в банківській установі та підписати "Зобов'язання адміністратора захисту інформації";
підтримувати конфіденційність системи захисту банківської установи;
здійснювати отримання засобів криптозахисту і виконувати їх заміну в службі захисту інформації регіонального управління НБУ;
здійснювати тестування криптоблока, електронної картки, програмного модуля генерації ключів;
вести листування зі службою захисту інформації регіонального управління НБУ з питань інформаційної безпеки;
ознайомлювати відповідальних осіб банківської установи з нормативними документами НБУ з питань захисту інформації та перевіряти знання правил використання та зберігання таємних ключів та інших засобів криптозахисту;
забезпечувати засобами криптозахисту виконавців;
вести облік засобів криптозахисту і контролювати їх рух;
вести журнали обліку і справи листування адміністратора захисту інформації і забезпечувати їх збереження;
забезпечувати генерацію ключів;
здійснювати зберігання ПМГК і його копії;
забезпечувати зберігання засобів криптозахисту на час, поки вони зберігаються в адміністратора захисту інформації;
забезпечувати відправлення на сертифікацію відкритих ключів, що потребують сертифікації;
вести архів відкритих ключів операціоністів, згенерованих у банківській установі;
здійснювати знищення за встановленим порядком копії ПМГК;
здійснювати контроль за дотриманням виконавцями правил інформаційної безпеки при роботі із засобами криптозахисту та їх зберіганні;
здійснювати контроль за строком дії ключів;
здійснювати контроль за необхідними змінами таблиць відкритих ключів;
здійснювати контроль за правильним і своєчасним знищенням виконавцями таємних ключів та їх копій;
здійснювати перевірки відповідності приміщення АРМ-НБУ і сейфів, у яких зберігаються засоби криптозахисту, вимогам інформаційної безпеки;
здійснювати контроль за веденням журналів обліку адміністратора АРМ-НБУ;
здійснювати контрольні перевірки відповідно до п.16.3 Правил;
інформувати керівництво банківської установи і службу захисту інформації регіонального управління НБУ про виявлені недоліки, що впливають на безпеку електронної банківської інформації;
брати участь (за рішенням керівника банківської установи) у розгляді фактів порушення правил інформаційної безпеки.
10.2. Функціональні обов'язки адміністратора АРМ-НБУ Адміністратор АРМ-НБУ повинен:
знати (в частині, що стосується його повноважень) нормативні документи і вказівки служби захисту інформації НБУ та регіонального управління НБУ з питань організації захисту електронної інформації і керуватися ними в повсякденній діяльності;
підтримувати конфіденційність системи захисту банківської установи;
дотримуватися технологічної дисципліни в роботі з програмно-апаратним комплексом АРМ-НБУ;
здійснювати генерацію ключів АРМ-НБУ;
здійснювати контроль за строком дії ключів АРМ-НБУ і своєчасну генерацію (з урахуванням часу на сертифікацію) чергових ключів АРМ-НБУ;
здійснювати зберігання таємного ключа АРМ-НБУ (у разі потреби - копію таємного ключа АРМ-НБУ) електронної картки, криптоблока;
забезпечувати зберігання засобів криптозахисту на час, поки вони перебувають в адміністратора АРМ-НБУ;
виконувати необхідні зміни в таблиці відкритих ключів АРМ-НБУ;
здійснювати знищення за встановленим порядком таємних ключів АРМ-НБУ та їх копій;
здійснювати перевірки відповідності приміщення АРМ-НБУ і сейфа адміністратора вимогам інформаційної безпеки;
дотримувати необхідного режиму допуску в приміщення АРМ-НБУ;
здавати під охорону і знімати з охорони приміщення АРМ-НБУ;
вести журнал обліку адміністратора АРМ-НБУ;
інформувати адміністратора захисту інформації про виникнення недоліків, що впливають на систему захисту електронних банківських документів;
брати участь (за рішенням керівника банківської установи) у розгляді фактів порушення правил інформаційної безпеки електронних платежів.
10.3. Функціональні обов'язки оператора АРМ бухгалтера, операціоністів та операторів інших робочих місць.
Оператор АРМ бухгалтера, операціоністи та оператори інших робочих місць САБ повинні:
знати (в частині, що стосується їх повноважень) нормативні документи і вказівки служби захисту інформації НБУ та регіонального управління НБУ з питань організації захисту електронної інформації і керуватися ними в повсякденній діяльності;
підтримувати конфіденційність системи захисту банківської установи;
дотримуватися технологічної дисципліни в роботі з програмним забезпеченням робочого місця;
виконувати правила використання та зберігання засобів криптозахисту;
здійснювати генерацію ключів;
здійснювати контроль за строком дії ключів і своєчасною генерацією (з урахуванням часу на сертифікацію) чергових ключів;
здійснювати зберігання (у разі наявності особистого сейфа) свого таємного ключа (у разі потреби - його копії);
передавати за встановленим порядком на зберігання (в разі відсутності особистого сейфа) свій таємний ключ (і його копію) адміністратору захисту інформації;
забезпечувати зберігання засобів криптозахисту на час їх зберігання у себе;
здійснювати знищення за встановленим порядком своїх таємних ключів (і їх копій);
інформувати адміністратора захисту інформації про виникнення недоліків, що впливають на безпеку електронної банківської інформації;
брати участь (за рішенням керівника банківської установи) у розгляді фактів порушення правил інформаційної безпеки електронних платежів.
10.4. Допуск відповідальних осіб до роботи із засобами криптозахисту.
З метою посилення захисту електронних платежів необхідно виконувати такий порядок розмежування допуску відповідальних осіб до засобів криптозахисту:
самостійний допуск до програмного модуля генерації ключів і роботи з ним мають тільки адміністратори захисту інформації;
самостійний допуск до роботи з криптоблоком, електронною карткою та таємним ключем АРМ-НБУ мають тільки адміністратори АРМ-НБУ;
усі адміністратори АРМ-НБУ мають знати пароль, установлений для таємного ключа АРМ-НБУ, або зробити для себе копію з використанням власного пароля;
самостійний допуск до таємного ключа АРМ бухгалтера і роботи з ним має тільки оператор АРМ бухгалтера і тільки кожний - до свого ключа;
пароль, установлений для таємного ключа АРМ бухгалтера, повинен знати тільки оператор АРМ бухгалтера і тільки кожний - до свого ключа;
самостійний допуск до таємного ключа операціоніста для роботи з ним має тільки операціоніст і тільки кожний - до свого ключа;
адміністратори АРМ-НБУ, оператори АРМ бухгалтера і операціоністи виконують свої функціональні обов'язки при роботі з програмним модулем генерації ключів лише в присутності адміністратора захисту інформації;
адміністратори захисту інформації виконують свої функціональні обов'язки і контрольні функції при роботі з таємними ключами і таблицею відкритих ключів АРМ-НБУ лише в присутності відповідних виконавців;
усі службові особи банківської установи несуть персональну відповідальність за створення умов для недопущення компрометації засобів криптозахисту.
11. Організація діловодства з питань захисту інформації
11.1. У банківській установі діловодством з питань організації системи захисту інформації в інформаційно-обчислювальній мережі НБУ займаються:
адміністратор захисту інформації;
адміністратор АРМ-НБУ.
11.2. Діловодство з питань захисту інформації ведеться відповідно до вимог, існуючих у банківській установі.
11.3. Зовнішнє оформлення наказів, актів, супровідних листів та інших документів, які передбачені цим документом, може відрізнятися від зразків, що пропонуються в додатках, виходячи з наявності в банківській установі різних бланків, штампів і особливостей ведення діловодства.
11.4. Організація діловодства адміністратором захисту інформації.
11.4.1. Адміністратор захисту інформації повинен вести:
справу N 1 адміністратора захисту;
справу N 2 адміністратора захисту;
журнал обліку адміністратора захисту.
11.4.2. У справі N 1 повинні зберігатися документи довгострокового користування, а саме:
нормативні акти НБУ, рекомендації регіонального управління НБУ з питань захисту;
останній акт перевірки службою захисту інформації регіонального управління НБУ організації захисту електронної банківської інформації;
"Зобов'язання" відповідальних за криптозахист осіб (додатки 3-5);
акт про приймання-передавання криптоблока від служби захисту інформації регіонального управління НБУ (додаток 7);
акт про приймання-передавання програмного модуля генерації ключів від служби захисту інформації регіонального управління НБУ (додаток 12);
довідка за підписом керівника банківської установи про стан сигналізації в приміщеннях;
картка реєстрації випадків несанкціонованого спрацювання сигналізації приміщення АРМ-НБУ;
довідка за підписом керівника банківської установи про дії відповідальних осіб, працюючих із засобами криптозахисту, у разі надзвичайних ситуацій;
допускається додавати до справи копії наказів про призначення відповідальних за криптозахист, акти приймання сигналізації приміщення АРМ-НБУ і договір про охорону;
інші документи з питань криптозахисту.
11.4.3. У справі N 2 мають лежати документи короткочасного користування, а саме:
супровідні листи (додатки 9-11, 14);
акти про приймання-передавання, знищення (додатки 6, 8, 13, 15, 16);
допускається додавати до справи копії наказів про особливий порядок роботи банківської установи в СЕП НБУ або про особливий порядок зберігання засобів криптозахисту (додатки 17-19);
інші документи з питань криптозахисту.
Документи з питань загальної безпеки, що не мають прямого стосунку до захисту електронних банківських документів, до справ N 1, 2 включатися не повинні у зв'язку з тим, що робота з ними не входить до компетенції служби захисту інформації регіонального управління НБУ.
Вказівки і рекомендації регіонального управління НБУ (або зняті з них копії), що надходять електронною поштою, можуть або включатися до справ N 1, 2, або реєструватися, зберігатися і знищуватися відповідно до правил, якими користуються в банківській установі.
11.4.4. Журнал обліку адміністратора захисту інформації складається з таких розділів:
Розділ 1. Перелік осіб, працюючих із засобами криптозахисту (додаток 20).
Розділ 2. Перелік нормативних документів і засобів криптозахисту, отриманих з управління захисту інформації НБУ та регіонального управління НБУ (додаток 21).
Розділ 3. Перелік таємних ключів, згенерованих в банківській установі (додаток 22).
Розділ 4. Перелік осіб, які мають право допуску в приміщення АРМ-НБУ (додаток 23).
Розділ 5. Перелік ключів від вхідних дверей приміщення АРМ-НБУ і сейфів відповідальних осіб, у яких зберігаються засоби криптозахисту (додаток 24).
Розділ 6. Перелік особистих печаток (штампів, пломбіраторів) відповідальних осіб для опечатування засобів криптозахисту (додаток 25).
Розділ 7. Облік руху засобів криптозахисту, що закріплені за адміністратором захисту інформації (додаток 26).
Розділ 8. Облік руху таємних ключів операторів АРМ бухгалтерів і операціоністів (додаток 27).
Розділ 9. Облік перевірок, проведених адміністратором захисту інформації (додаток 28).
11.5. Адміністратор АРМ-НБУ повинен вести журнал обліку адміністратора АРМ-НБУ, який має складатися з таких розділів:
Розділ 1. Облік руху засобів криптозахисту на АРМ-НБУ (додаток 29).
Розділ 2. Облік руху засобів криптозахисту адміністратора АРМ-НБУ під час особливого порядку зберігання засобів захисту (додаток 30).
11.6. Деякі особливості ведення журналів обліку.
Додаток 21
Уміщуються тільки документи тривалого користування (нормативні акти НБУ та роз'яснення з питань захисту інформації).
Додаток 26
Відмітки про приймання-передавання засобів криптозахисту здійснюються щоденно при організації двозмінної роботи адміністратора захисту інформації і в міру потреби - при однозмінній роботі (відсутність основного адміністратора захисту - відпустка, навчання, хвороба тощо). У цьому разі має зазначатися дата реального передання засобів криптозахисту між адміністраторами захисту інформації.
Додаток 27
1. У цьому додатку не враховуються таємні ключі тих операторів робочих місць САБ, які здійснюють зберігання своїх таємних ключів у своїх особистих сейфах.
2. Якщо оператор (операціоніст) не отримував свій таємний ключ для роботи, то в стовпчиках 3, 4 ставиться прочерк, а в стовпчиках 5, 6 робиться відмітка адміністратора захисту інформації, який відповідальний за зберігання і розпочав зміну, про отримання цього таємного ключа на зберігання.
3. Якщо закінчився строк дії таємного ключа, то в стовпчиках 5,6 ставиться відмітка про припинення його строку дії, а приймання-передавання заново згенерованого таємного ключа для цього виконавця здійснюватиметься аналогічним чином.
4. При передаванні зміни між відповідальними за зберігання, здійснюється відповідний запис або після поточної дати, якщо зміна відбувається вранці, або після відміток про видачу таємних ключів, якщо зміна відбувається вдень або в кінці робочого дня.
5. У разі потреби допускається вести не загальний облік руху таємних ключів на всіх виконавців, а індивідуальний - на кожного виконавця.
6. Допускається збирати облікові форми у швидкозшивачі. У цьому разі швидкозшивач розглядається як доповнення до журналу обліку.
Додаток 29
У цьому додатку робляться записи про всі зміни із засобами криптозахисту АРМ-НБУ. Приклади можливих змін наведені в тексті.
Додаток 30
1. Цей додаток заводиться тільки в разі передавання засобів захисту на зберігання в грошове сховище або в сейф керівника банківської установи (п.14.3 Правил).
У додатках, в графах "примітка", у разі потреби робляться короткі робочі помітки. Наприклад, у додатку 20 - про причину звільнення відповідального від роботи із засобами криптозахисту; у додатку 21 - про факт компрометації засобів криптозахисту тощо.
12. Перевірка готовності банківської установи до включення в інформаційно-обчислювальну мережу НБУ
12.1. Перевірка готовності банківської установи до включення в інформаційно-обчислювальну мережу НБУ здійснюється службою захисту інформації регіонального управління НБУ після виконання банківською установою необхідних первинних заходів щодо організації захисту електронної банківської інформації відповідно до вимог, що визначаються цими Правилами та іншими нормативними документами НБУ.
Підставою для перевірки є відповідне розпорядження керівництва РРП службі захисту інформації регіонального управління НБУ.
12.2. У процесі перевірки вивчаються такі питання:
наявність технічних можливостей для організації робочих місць відповідальних за роботу із засобами криптозахисту;
стан приміщення для АРМ-НБУ щодо вимог інформаційної безпеки;
наявність відповідальних осіб за роботу із засобами криптозахисту;
наявність належних нормативних актів та інших документів про організацію забезпечення інформаційної безпеки при роботі в інформаційно-обчислювальній мережі НБУ;
наявність підготовленого пакета документів:
а) акт про приймання-передавання сигналізації приміщення АРМ-НБУ між банківською установою та підрозділом охорони УВСУ;
б) наказ по банківській установі про призначення відповідальних за криптозахист осіб;
в) "Зобов'язання" усіх відповідальних осіб про виконання вимог до роботи із засобами криптозахисту;
перевірка знань положень нормативних актів, що регламентують порядок забезпечення інформаційної безпеки при роботі в інформаційно-обчислювальній мережі, у відповідальних за роботу із засобами криптозахисту.
12.3. У разі відсутності недоліків за результатами перевірки складається відповідний акт.
За наявності недоліків, що впливають на організацію захисту електронних банківських документів, також складається акт із зазначенням виявлених недоліків та встановленням строку їх усунення.
При підключенні банківської установи до СЕП НБУ за домовленістю з керівництвом регіонального управління НБУ допускається протягом місяця використовувати особливий порядок організації зберігання засобів криптозахисту (п.14.3 Правил).
12.4. Питання надання службою захисту інформації регіонального управління НБУ в банківську установу необхідних засобів криптозахисту і документів, що регламентують правила інформаційної безпеки при роботі в СЕП НБУ, узгоджується в робочому порядку.
13. Повернення засобів криптозахисту
13.1. Повернення засобів криптозахисту до служби захисту інформації регіонального управління НБУ здійснюється банківською установою у разі:
а) ліквідації банківської установи;
б) припинення роботи банківської установи в СЕП НБУ;
в) виявлення порушень в організації захисту електронних банківських документів, що впливають на їх безпеку;
г) проведення правоохоронними органами та іншими державними установами перевірки комерційної діяльності банківської установи, якщо при цьому виникають умови компрометації діючих засобів криптозахисту.
13.2. У випадках, передбачених підпунктом а) п.13.1 Правил, банківська установа, що ліквідується, має повернути криптоблок до служби захисту регіонального управління НБУ протягом трьох днів. У разі потреби подальша робота банківської установи в СЕП виконується із застосуванням програмного шифрування або іншим шляхом (через АРМ "Юридична комісія" тощо) відповідно до вказівок керівництва регіонального управління НБУ.
13.3. У випадках, передбачених підпунктом б) п.13.1 Правил, банківська установа повинна:
заздалегідь погодити зі службою захисту інформації регіонального управління НБУ передбачувані строки і порядок виходу банківської установи із СЕП НБУ або переходу на іншу модель роботи, перелік засобів криптозахисту, програм, журналів, які підлягають поверненню до служби захисту інформації регіонального управління НБУ, передачі в архів банківської установи або знищенню на місці;
відповідно до акта (додаток 16) здійснити необхідні заходи щодо повернення до служби захисту інформації регіонального управління НБУ, знищення і здавання в архів відповідних засобів криптозахисту, програм, справ, журналів обліку;
надіслати до служби захисту регіонального управління НБУ акт (додаток 16) у двох примірниках, один з яких після узгодження і затвердження залишається в службі захисту інформації регіонального управління НБУ, другий - зберігається в банківській установі.
Засоби криптозахисту (за винятком криптоблока) банківська установа передає до служби захисту інформації регіонального управління НБУ нарочним або спецзв'язком.
Криптоблок до служби захисту інформації регіонального управління НБУ передається тільки нарочним.
13.4. У випадках, передбачених підпунктами в) і г) п.13.1 Правил, питання про доцільність повернення або знищення засобів криптозахисту і програмного забезпечення буде вирішуватися в залежності від ситуації, що склалася.
14. Особливий порядок роботи в СЕП НБУ і зберігання засобів криптозахисту
14.1. За надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо) слід, у міру можливості, вжити заходів щодо порятунку засобів криптозахисту, програмного забезпечення АРМ-НБУ, електронних архівів, комп'ютерної техніки тощо.
У справі N 1 адміністратора захисту інформації має бути підписана керівником банківської установи довідка, що складена в довільній формі та регламентує дії осіб, які працюють із засобами криптозахисту, під час надзвичайної ситуації. З цією довідкою мають бути ознайомлені всі зацікавлені службові особи. У разі потреби виписки з довідки можуть знаходитися і на робочих місцях осіб, працюючих із засобами криптозахисту.
14.2. За аварійної ситуації (відключення електроживлення, пошкодження кабельних ліній зв'язку тощо) за попереднім узгодженням зі службою захисту інформації регіонального управління НБУ дозволяється на штатній ПЕОМ АРМ-НБУ здійснити роботу в СЕП НБУ протягом одного робочого дня в приміщенні іншої установи, організації тощо з дотриманням правил застереження і зберігання обладнання, засобів криптозахисту, програмного забезпечення АРМ-НБУ тощо.
У цьому разі в банківській установі затверджується наказ (додаток 17), копія якого надсилається до служби захисту інформації регіонального управління НБУ.
14.3. У разі потреби (ремонтні роботи, переведення АРМ-НБУ в інше приміщення тощо) за попереднім погодженням зі службою захисту інформації регіонального управління НБУ допускається тимчасове зберігання засобів криптозахисту АРМ-НБУ:
в грошовому сховищі банківської установи;
в сейфі керівника банківської установи, якщо ці приміщення обладнані відповідно до вимог, що визначаються відповідними нормативними документами.
У цьому разі в банківській установі затверджується наказ (додатки 18, 19), копія якого направляється до служби захисту інформації регіонального управління НБУ.
При передаванні засобів криптозахисту на зберігання вони мають бути запаковані, опечатані печатками відповідальних осіб з особистим підписом у розділі 2 журналу обліку адміністратора АРМ-НБУ (додаток 30).
14.4. За умов компрометації засобів криптозахисту в процесі роботи правоохоронних органів в банківській установі банківська установа повинна поінформувати правоохоронні органи про наявність у неї засобів криптозахисту (криптоблок, електронна картка, програмний модуль генерації ключів, копії ПМГК) та програмного забезпечення АРМ-НБУ, які є банківською таємницею і власністю НБУ. Банківська установа повинна також проінформувати службу захисту інформації регіонального управління НБУ про цей випадок для прийняття рішення про порядок подальшої роботи із засобами захисту НБУ.
15. Перелік питань, що вимагають інформування служби захисту інформації регіонального управління НБУ
15.1. Банківська установа зобов'язана негайно (по телефону) інформувати службу захисту інформації регіонального управління НБУ у таких випадках:
виконання (спроби виконання) фіктивного платіжного документа;
компрометації засобів криптозахисту;
пошкодження засобів криптозахисту;
несанкціонованого проникнення в приміщення АРМ-НБУ (пошкодження вхідних дверей, грат на вікнах, спрацювання сигналізації при нез'ясованих обставинах тощо);
проведення правоохоронними органами та іншими державними установами перевірки комерційної діяльності банківської установи, якщо при цьому виникають умови для компрометації діючих засобів криптозахисту;
виникнення інших аварійних або надзвичайних ситуацій, що створюють реальні передумови до розкрадання, втрати, пошкодження тощо засобів криптозахисту.
15.2. Банківська установа зобов'язана проводити попереднє узгодження зі службою захисту інформації регіонального управління НБУ у таких випадках:
переведення АРМ-НБУ (у тому числі й тимчасово) в інше приміщення банківської установи;
організації аварійної роботи АРМ-НБУ поза межами банківської установи;
тимчасового зберігання засобів криптозахисту в грошовому сховищі банківської установи або в сейфі керівника банківської установи;
виникнення інших нестандартних ситуацій.
15.3. Банківська установа зобов'язана повідомляти службу захисту регіонального управління НБУ в робочому порядку у таких випадках:
призначення адміністраторів захисту інформації, адміністраторів АРМ-НБУ і АРМ бухгалтера (копія наказу або виписки з наказу);
звільнення від обов'язків адміністратора захисту інформації, адміністратора АРМ-НБУ та АРМ бухгалтера (копія наказу або виписка з наказу);
отримання засобів криптозахисту, що надсилаються службою захисту інформації регіонального управління НБУ засобами спецзв'язку (підтвердження);
переходу на програмне шифрування і зворотного переходу на апаратне шифрування електронних платежів (лист);
позапланової заміни програмного модуля генерації ключів (лист).
16. Контрольно-перевірні заходи щодо організації захисту інформації в банківській установі
16.1. У повсякденній діяльності банківської установи організація контролю забезпечення захисту електронних банківських документів відповідно до вимог нормативних документів НБУ покладається на:
керівника банківської установи (особи, яка виконує його обов'язки);
заступника керівника банківської установи, який за своїми службовими обов'язками або за окремим наказом по банківської установі призначений відповідальним за організацію захисту електронних банківських документів.
16.2. Безпосередньо контроль за станом захисту електронної банківської інформації в банківській установі здійснює адміністратор захисту інформації.
Цей контроль здійснюється як у процесі повсякденної діяльності, виходячи із ситуації, що конкретно складається на тій або іншій дільниці роботи, так і в ході планових перевірок.
16.3. Адміністратор захисту електронної банківської інформації виконує планові перевірки не рідше одного разу на квартал.
Перевірки здійснюються в обсязі нормативних документів НБУ, але основну увагу при цьому слід звертати на наявність засобів криптозахисту, ключів від сейфів, у яких зберігаються засоби криптозахисту, і від вхідних дверей приміщення АРМ-НБУ, облікових даних, виконання вимог інформаційної безпеки при роботі із засобами криптозахисту, дотримання системи обмеження доступу до приміщення АРМ-НБУ, знання відповідальними особами нормативних документів з питань інформаційної безпеки при роботі в СЕП НБУ, правильне і своєчасне заповнення журналів обліку.
Після завершення перевірки в розділі 9 журналу обліку адміністратора захисту інформації робиться відповідна відмітка (додаток 28 ).
16.4. Контроль за станом захисту електронних банківських документів покладений на службу захисту інформації регіонального управління НБУ.
Контроль здійснюється в процесі перевірок, які виконує співробітник (співробітники) служби захисту інформації регіонального управління НБУ.
16.5. Перевіряльник служби захисту інформації регіонального управління НБУ зобов'язаний мати при собі документи, які підтверджують його особу, і розпорядження на перевірку, на якому є підпис керівника (заступника) регіонального управління НБУ.
Розпорядження складається в довільній формі.
Перевіряльник здійснює перевірку в присутності службової особи, призначеної керівником банківської установи.
При перевірці перевіряльник керується нормативними актами Національного банку України і рекомендаціями регіонального управління НБУ з питань організації захисту електронної інформації.
16.6. Співробітник служби захисту інформації регіонального управління НБУ, який перевіряє банківську установу, має право:
перевіряти засоби криптозахисту, комп'ютер АРМ-НБУ, журнали, справи і документи з питань криптозахисту;
відвідувати приміщення АРМ-НБУ, вивчати умови зберігання засобів криптозахисту, стан сигналізації приміщення АРМ-НБУ, здійснювати за узгодженням з відповідним відділом охорони контрольну перевірку її спрацювання;
відвідувати робочі місця адміністратора захисту інформації, операторів АРМ бухгалтера, операціоністів і вивчати умови зберігання засобів криптозахисту;
перевіряти у відповідальних за роботу із засобами криптозахисту знання нормативних актів, що регламентують забезпечення інформаційної безпеки, рекомендацій служби захисту інформації регіонального управління НБУ, їх навичок працювати із засобами криптозахисту;
ознайомлюватися з наказами, актами й іншими документами банківської установи, що дають змогу проконтролювати виконання вимог інформаційної безпеки відповідальними особами;
брати участь у службових розслідуваннях, що проводяться в банківській установі при виявленні недоліків організації захисту електронної банківської інформації.
16.7. Передбачаються такі види перевірок банківських установ з боку служби захисту регіонального управління НБУ:
планові (не рідше одного разу на рік);
позапланові:
а) при первинному підключенні банківської установи до інформаційно-обчислювальної мережі НБУ;
б) при підключенні до мережі НБУ банківської установи, яка була раніше тимчасово виключена з мережі НБУ;
в) за результатами усунення виявлених недоліків, при надзвичайних ситуаціях, упровадженні нових засобів криптозахисту, особливому порядку роботи в СЕП НБУ тощо.
16.8. За результатами перевірки складається Акт про перевірку організації захисту електронних банківських документів (додаток 31) у двох примірниках, що підписується співробітником служби захисту інформації регіонального управління НБУ і керівником банківської установи. Один примірник акта залишається в банківській установі, другий - подається до служби захисту інформації регіонального управління НБУ.
17. Ведення архівів
17.1. Для уникнення непередбачених затримок у роботі банківської установи в СЕП НБУ, у разі повного або часткового знищення таблиць відкритих ключів, у банківській установі мають вестися:
архів діючих відкритих ключів операціоністів, згенерованих у цій банківській установі;
архів файлів сертифікатів відкритих ключів, що надходять з управління захисту інформації НБУ.
17.2. Для отримання від служби захисту інформації НБУ достовірної інформації при вирішенні спірних питань, пов'язаних з електронними платіжними документами, в тому числі і для господарського суду, в банківській установі мають вестися: