Додаток 18
до п.14.3 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Наказ
"___"___________ 199_ р. N ____
Про особливий порядок зберігання засобів криптозахисту (як приклад)
У зв'язку з виконанням електрозварювальних робіт у приміщенні
____________________________________________________, в результаті
(назва банківської установи)
чого тимчасово відключений третій рубіж (сейф) системи
сигналізації приміщення АРМ-НБУ,
НАКАЗУЮ:
1. Здійснювати з "___"__________ 199_ р. і до особливої
вказівки зберігання засобів криптозахисту, за які відповідають
адміністратори АРМ-НБУ, в неробочий час у грошовому сховищі.
2. Передавати засоби криптозахисту на зберігання у
запечатаному вигляді, суворо дотримуючись вимог щодо організації
захисту електронної банківської інформації.
3. Призначити відповідальними за виконання цього наказу:
а) адміністраторів АРМ-НБУ (прізвище, ініціали);
б) відповідального (посада) за грошове сховище (прізвище,
ініціали).
4. Контроль покласти на адміністратора захисту інформації
(прізвище, ініціали).
Керівник (заступник)
банківської установи _____________ _______________________
(підпис) (прізвище, ініціали)
Додаток 19
до п.14.3 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Наказ
"___"___________ 199_ р. N ___
Про особливий порядок зберігання засобів криптозахисту (як приклад)
У зв'язку з виконанням електрозварювальних робіт у приміщенні
_______________________________________________, в результаті чого
(назва банківської установи)
тимчасово відключений третій рубіж (сейф) системи сигналізації
приміщення АРМ-НБУ,
НАКАЗУЮ:
1. Здійснювати з "___"______________ 199_ р. і до особливої
вказівки зберігання засобів криптозахисту, за які відповідають
адміністратори АРМ-НБУ, в неробочий час у сейфі керівника
банківської установи.
2. Передавати засоби криптозахисту на зберігання у
запечатаному вигляді, суворо дотримуючись вимог щодо організації
захисту електронної банківської інформації.
Керівник (заступник)
банківської установи ______________ ________________________
(підпис) (прізвище, ініціали)
Додаток 20
до п.11.4.4 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку алміністратора захисту інформації
Розділ 1:
Перелік
відповідальних осіб, які працюють з засобами криптозахисту (як приклад)
------------------------------------------------------------------
N |Прізвище,| За що |Номер і дата|Номер і дата | Примітка
з/п|ім'я, по | відповідає |наказу про |наказу про |
|батькові | |призначення |звільнення від|
| | | |обов'язків |
---+---------+------------+------------+--------------+-----------
1 | 2 | 3 | 4 | 5 | 6
---+---------+------------+------------+--------------+-----------
1 |Петренко |Адмін. за- | 01.11.98 | 12.03.99 |Звільн.
|І.І. |хисту інф. | N 234 | N 12 |Акт від
| | | | |11.03.99
2 |Іваненко |Адмін. за- | 10.03.99 | |
|О.О. |хисту інф. | N 10 | |
3 | ------- |Адміністр. | | |
| |АРМ-НБУ | | |
4 | ------- |Адміністр. | | |
| |АРМ-НБУ | | |
5 | ------- |Оператор | | |
| |АРМ | | |
| |бухгалтера | | |
6 | ------- |Оператор | | |
| |АРМ | | |
| |бухгалтера | | |
7 | ------- |Операціоніст| | |
8 | ------- |Операціоніст| | |
------------------------------------------------------------------
Додаток 21
до п.11.4.3 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку адміністратора захисту інформації
Розділ 2:
Перелік
нормативних актів і засобів криптозахисту, отриманих з управління захисту інформації НБУ і регіонального управління НБУ (як приклад)
------------------------------------------------------------------
N |Дата от-|Що отримано|Дата ко-|Дата і під-|Дата і під-|Примітка
з/п|римання | |піювання|пис відпо- |пис відпо- |
|з НБУ | | |відальної |відальної |
| | | |особи за |особи про |
| | | |отримання |повернення |
| | | |документів,|засобів за-|
| | | |засобів за-|хисту або |
| | | |хисту, їх |документів |
| | | |знищення |в ОУ НБУ |
---+--------+-----------+--------+-----------+-----------+--------
1 | 2 | 3 | 4 | 5 | 6 | 7
---+--------+-----------+--------+-----------+-----------+--------
1 |10.10.98|Положення | | | |
| |про міжбан-| | | |
| |ківські ро-| | | |
| |зрахунки в | | | |
| |Україні | | | |
| |(N 414 від | | | |
| |08.10.98) | | | |
2 |03.10.98|Криптоблок | |Передано |10.01.99 |Блок
| |N ______ | |на АРМ-НБУ |Іваненко |вийшов
| | | |(підпис) |І.І. |з ладу
| | | | |(підпис) |
3 |03.10.98|Електронна | |Передано |10.01.99 |Разом з
| |картка | |на АРМ-НБУ |Іваненко |блоком
| |N ____ | |(підпис) |І.І. |
| | | | |(підпис) |
4 |15.04.99|ПМГК | | | |
| |(версія, | | | |
| |дата | | | |
| |вигот.) | | | |
5 | |Копія ПМГК |16.04 |Копіював | |
| |(версія, |1990 |Петренко | |
| |дата | |О.О. | |
| |виготов.) | |(підпис) | |
------------------------------------------------------------------
Додаток 22
до п.11.4.4 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку адміністратора захисту інформації
Розділ 3:
Перелік
таємних ключів, згенерованих у банківській установі (як приклад)
------------------------------------------------------------------
N | Назва ТК |Назва файла |Дата і |Дата і|Дата і |Дата і |При-
з/п| |ТК (або N |підпис |підпис|підпис |підпис |мітка
| |Touch |відпов. |відп. |відп. |відп. |
| |Memory) |особи, |особи,|особи, |особи, |
| | |яка гене-|яка |яка ге-|яка ви-|
| | |рувала |знищу-|нерува-|конува-|
| | |(копіюва-|вала |ла ін- |ла ви- |
| | |ла) та |ТК |форма- |лучення|
| | |отримала | |цію для|ВК із |
| | |ТК | |вилуче-|ТВК |
| | | | |ння ВК | |
---+----------+------------+---------+------+-------+-------+-----
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8
---+----------+------------+---------+------+-------+-------+-----
1 |Перевірка | - |16.04.99 | | | |
|робото- | |Петренко | | | |
|здатн. | |(підпис) | | | |
|генератора| | | | | |
2 |Перевірка | - |16.04.99 | | | |
|робото- | |Петренко | | | |
|здатн. | |(підпис) | | | |
|копії ПМГК| | | | | |
3 |ТК АРМ-НБУ|S_gha300.002|16.04.99 | | | |
|НБУ | |Іваненко | | | |
| | |(підпис) | | | |
4 |ТК АРМ-НБУ|S_gha300.002|16.04.99 | | | |
|(копія) | |Іваненко | | | |
| | |(підпис) | | | |
5 |ТК АРМ |S_ghab01.003|16.04.99 | | | |
|бух. | |Сидоренко| | | |
| | |(підпис) | | | |
6 |ТК АРМ |S_ghab01.003|16.04.99 | | | |
|бух. | |Сидоренко| | | |
|(копія) | |(підпис) | | | |
7 |ТК |S_ghaо01.004|16.04.99 | | | |
|операц. | |Петренко | | | |
| | |невдала | | | |
| | |спроба | | | |
| | |генерації| | | |
8 |ТК |S_ghaо01.005|16.04.99 | | | |
|операц. | |Орленко | | | |
| | |(підпис) | | | |
9 |ТК |S_ghaо02.006|16.04.99 | | | |
|операц. | |Лєскова | | | |
| | |(підпис) | | | |
------------------------------------------------------------------
Додаток 23
до п.11.4.4 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку адміністратора захисту інформації
Розділ 4:
Перелік осіб,
які мають право допуску до приміщення АРМ-НБУ (як приклад)
------------------------------------------------------------------
N |Прізвище,|Стосунок до |Підстава для |Відмітка про |Примітка
з/п|ім'я, по |засобів |допуску (N і |припинення |
|батькові |захисту або |дата наказу, |допуску (N і |
| |посада |розпорядження|дата наказу, |
| | |тощо) |розпорядження|
| | | |тощо) |
---+---------+--------------+-------------+-------------+---------
1 | 2 | 3 | 4 | 5 | 6
---+---------+--------------+-------------+-------------+---------
1 | - " - | Керуючий | | |
2 | - " - | Адмін.захисту|наказ N 10 | |
| | інформації |від 10.01.99 | |
3 | - " - | Адміністратор|наказ N 10 | |
| | АРМ-НБУ |від 10.01.99 | |
4 | - " - | Адміністратор|наказ N 10 | |
| | АРМ-НБУ |від 10.01.99 | |
5 | - " - | Програміст |наказ N 10 | |
| | |від 10.01.99 | |
------------------------------------------------------------------
Додаток 24
до п.11.4.4 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку адміністратора захисту інформації
Розділ 5:
Перелік
ключів від вхідних дверей приміщення АРМ-НБУ і сейфів відповідальних осіб, у яких зберігаються засоби криптозахисту (як приклад)
------------------------------------------------------------------
N | Призначення ключа | N | У кого (де) | Примітка
з/п| |прим.| перебуває |
---+-------------------------+-----+--------------------+---------
1 | 2 | 3 | 4 | 5
---+-------------------------+-----+--------------------+---------
1 |Ключі від вхідних дверей | 1 |Адміністр. АРМ-НБУ |Вилучені
|приміщення АРМ-НБУ | 2 |Адміністр. АРМ-НБУ |(заміна
| | 3 |Пульт охорони |замка
| | | |11.06.98)
2 |Ключ від сейфа | 1 |Адміністр. захисту |
|адміністратора захисту | 2 |Керівник |
|інформації | | |
3 |Ключ від сейфа | 1 |Адміністр. АРМ-НБУ |
|адміністратора АРМ-НБУ | 2 |Адміністр. АРМ-НБУ |
4 |Ключ від сейфа | 1 |Оператор АРМ бухг. |
|оператора АРМ | | |
|бухгалтера | | |
5 |Ключ від сейфа | 1 |Операціоніст |
|операціоніста | | |
6 |Ключі від вхідних | 1 |Адміністр. АРМ-НБУ |
|дверей приміщення АРМ-НБУ| 2 |Адміністр. АРМ-НБУ |
| | |Пульт охорони |
------------------------------------------------------------------
Додаток 25
до п.11.4.4 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку адміністратора захисту інформації
Розділ 6:
Перелік
особистих печаток (штампів, пломбіраторів) відповідальних осіб для опечатування засобів криптозахисту (як приклад)
------------------------------------------------------------------
N | Індивідуальна | Кому видана | Примітка
з/п| ознака печатки | |
---+---------------------+-------------------------+--------------
1 | 2 | 3 | 4
---+---------------------+-------------------------+--------------
1 |Печатка "Для опечат."| Адміністратор | Вилучена у
| | захисту інформації | зв'язку із
| | (прізвище) | заміною
| | | 16.11.98
2 |Печатка N 17 | Адміністратор |
| | захисту інформації |
| | (прізвище) |
3 |Печатка N 3 | Адміністратор АРМ-НБУ |
| | (прізвище) |
4 |Штамп N 26 | Операціоніст |
| | (прізвище) |
5 |Пломбір. N 30 | Операціоніст |
| | (прізвище) |
6 |Печатка N 5 | Операціоніст |
| | (прізвище) |
------------------------------------------------------------------
Додаток 26
до п.11.4.4 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку адміністратора захисту інформації
Розділ 7:
Облік руху засобів криптозахисту,
що закріплені за адміністратором захисту інформації (як приклад)
------------------------------------------------------------------
Дата | Час |Підпис АЗІ | Дата | Час |Підпис АЗІ
| |1-ї зміни за | | |2-ї зміни за
| |отримання СКЗ | | |отримання СКЗ
---------+-------+---------------+--------+---------+-------------
1 | 2 | 3 | 4 | 5 | 6
------------------------------------------------------------------
1. ПМГК (версія ________, дата виготовлення _________)
2. ПМГК (копія) (версія ________, дата виготовлення _________)
------------------------------------------------------------------
15.06 | 09-00 | підпис | 15.06 | 19-00 | підпис
16.06 | 09-00 | підпис | 16.06 | 18-45 | Підпис
------------------------------------------------------------------
Додаток 27
до п.11.4.4 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку адміністратора захисту інформації
Розділ 8:
Облік руху таємних ключів
операторів АРМ бухгалтерів і операціоністів (як приклад)
------------------------------------------------------------------
N | Назва файла |Час |Підпис |Час | Підпис | Примітка
з/п| ТК (або N |отри-|операто-|повер-| АЗІ |
| Touch Memory)|мання|ра або |нення | |
| | |операці-| | |
| | |оніста | | |
---+--------------+-----+--------+------+--------+----------------
1 | 2 | 3 | 4 | 5 | 6 | 7
------------------------------------------------------------------
05.01.1999 08:45
На зміну заступив. Звірення таємних ключів здійснив.
Зауважень немає. Підпис АЗІ
------------------------------------------------------------------
1 |S_ghab24.073 |08:55| підпис | 17:00| підпис |
2 |S_ghab24.073 |08:55| підпис | 17:00| підпис |
|(копія) | | | | |
3 |S_ghaо01.052 |09:00| підпис | 14:00| підпис |
...| | | | | |
9 |S_ghaо03.067 |14:00| підпис | 19:00| підпис |
...|S_ghaо07.060 |14:05| підпис | 19:10| підпис |Строк дії
| | | | | |закінчився.
| | | | | |Підпис АЗІ
------------------------------------------------------------------
05.01.1999 19:15
Зміну закінчив. Усі таємні ключі від відповідальних
осіб отримані. Зауважень немає. Підпис АЗІ.
------------------------------------------------------------------
06.01.1999 08:50
На зміну заступив. Звірення таємних ключів здійснив.
Пошкоджена печатка на конверті з ключем s_ghao07.060.
Ключ вилучений з обігу. Підпис АЗІ
------------------------------------------------------------------
1 |S_ghab24.073 |09:00| підпис | 17:00| підпис |
2 |S_ghaо01.052 |09:00| підпис | 14:00| підпис |
------------------------------------------------------------------
Додаток 28
до п.11.4.4 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку адміністратора захисту інформації
Розділ 9:
Облік
перевірок, проведених адміністратором захисту інформації (як приклад)
------------------------------------------------------------------
N Зміст
з/п
------------------------------------------------------------------
1 25.01.99 виконана перевірка стану безпеки
електронних платежів у банківській установі.
Порушень, що впливають на безпеку електронних
платежів, у процесі перевірки не виявлено.
або
Порушень, що впливають на безпеку електронних
платежів, з часу попередньої перевірки не було.
або
виявлені такі порушення:
__________________________________
(вказати конкретно)
Підпис АЗІ
Додаток 29
до п.11.4.5 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку адміністратора АРМ-НБУ
Розділ 1:
Облік
руху засобів криптозахисту на АРМ-НБУ (як приклад)
------------------------------------------------------------------
Дата | Час |Підпис ад- | Час |Підпис ад- | Час |Підпис ад- |N
| |міністратора| |міністратора| |міністратора|пе-
| |АРМ-НБУ 1-ї | |АРМ-НБУ 2-ї | |АРМ-НБУ 2-ї |ча-
| |зміни за от-| |зміни за от-| |зміни за по-|тки
| |римання за- | |римання за- | |вернення за-|
| |собів захис-| |собів захис-| |собів захис-|
| |ту з сейфа | |ту від 1-ї | |ту у сейф |
| | | |зміни | | |
-----+-----+------------+-----+------------+-----+------------+---
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8
------------------------------------------------------------------
Криптоблок N _______
(дата введення в експлуатацію 30.10.98)
ЕК N ______ (початок роботи 30.10.98)
ТК АРМ-НБУ s_gha300.021 (дата генерації 20.12.98)
ТК АРМ-НБУ s_gha300.021 (копія)
------------------------------------------------------------------
05.01|09:00|Прізвище, |15:00|Прізвище, |20:05|Прізвище, | 1
| |підпис | |підпис | |підпис |
06.01|08:55|Прізвище, |14:50|Прізвище, |20:15|Прізвище, | 1
| |підпис | |підпис | |підпис |
... | | | | | | |
26.01|09:00|Прізвище, |15:10|Прізвище, |19:55|Прізвище, | 3
| |підпис | |підпис | |підпис |
------------------------------------------------------------------
ЕК N ______ і криптоблок N _____ з 27.01.99 у роботі
не використовуються у зв'язку з поломкою ЕК.
27.01.99 Підпис, прізвище АЗІ
Криптоблок N _______
(дата введення в експлуатацію 30.10.98)
ТК АРМ-НБУ s_gha300.021 (дата генерації 20.12.98)
ТК АРМ-НБУ s_gha300.021 (копія)
------------------------------------------------------------------
27.01|09:00|Прізвище, |15:00|Прізвище, |20:05|Прізвище, | 3
| |підпис | |підпис | |підпис |
28.01|09:00|Прізвище, |15:00|Прізвище, |20:05|Прізвище, | 3
| |підпис | |підпис | |підпис |
... | | | | | | |
02.02|09:00|Прізвище, |15:00|Прізвище, |20:05|Прізвище, | 1
| |підпис | |підпис | |підпис |
------------------------------------------------------------------
02.02.99 отримана нова ЕК N _______.
З 03.02.99 захист електронних платежів буде здійснюватися
за допомогою апаратного шифрування.
02.02.99 Підпис, прізвище АЗІ.
Криптоблок N _______
(дата введення в експлуатацію 30.10.98)
ЕК N ______ (початок роботи 03.02.99)
ТК АРМ-НБУ s_gha300.021 (дата генерації 20.12.98)
ТК АРМ-НБУ s_gha300.021 (копія)
------------------------------------------------------------------
03.02|09:00|Прізвище, |15:00|Прізвище, |20:05|Прізвище, | 1
| |підпис | |підпис | |підпис |
04.02|09:0 |Прізвище, |15:00|Прізвище, |20:05|Прізвище, | 1
| |підпис | |підпис | |підпис |
... | | | | | | |
04.03|09:0 |Прізвище, |15:00|Прізвище, |20:05|Прізвище, | 1
| |підпис | |підпис | |підпис |
------------------------------------------------------------------
У зв'язку із закінченням строку дії ТК АРМ-НБУ
S_gha300.021 згенеровано новий ТК АРМ-НБУ S_gha300.029
04.03.99 Підпис, прізвище АЗІ
Криптоблок N _______
(дата введення в експлуатацію 30.10.98)
ЕК N ______ (початок роботи 03.02.99)
ТК АРМ-НБУ s_gha300.021 (дата генерації 20.12.98)
ТК АРМ-НБУ s_gha300.021 (копія)
ТК АРМ-НБУ s_gha300.029 (дата генерації 04.03.99)
ТК АРМ-НБУ s_gha300.029 (копія)
------------------------------------------------------------------
05.03|09:00|Прізвище, |15:00|Прізвище, |20:05|Прізвище, | 1
| |підпис | |підпис | |підпис |
------------------------------------------------------------------
ТК АРМ-НБУ s_gha300.021 (дата генерації 20.12.98)
Виведений з експлуатації.
В експлуатацію введений ТК АРМ-НБУ s_gha300.029
5.03.99 Підпис, прізвище АЗІ
Криптоблок N _______
(дата введення в експлуатацію 30.10.98)
ЕК N ______ (початок роботи 03.02.99)
ТК АРМ-НБУ s_gha300.029 (дата генерації 04.03.99)
ТК АРМ-НБУ s_gha300.029 (копія)
------------------------------------------------------------------
06.03|09:00|Прізвище, |15:00|Прізвище, |20:05|Прізвище, | 1
| |підпис | |підпис | |підпис |
------------------------------------------------------------------
Додаток 30
до п.11.4.5 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Журнал обліку адміністратора АРМ-НБУ
Розділ 2:
Облік
руху засобів криптозахисту адміністратора АРМ-НБУ під час особливого порядку зберігання засобів захисту (як приклад)
------------------------------------------------------------------
Дата | Час |Підпис адмініст- |Дата | Час | Підпис тимчасово
| |ратора АРМ-НБУ | | | відповід. особи
| |про отримання | | | про отримання
| |засобів захисту | | | засобів захисту
-----+-----+-----------------+-----+-----+------------------------
1 | 2 | 3 | 4 | 5 | 6
------------------------------------------------------------------
Згідно з наказом по _____________________________
(назва банківської установи)
N _____ від "___"_________ 1999 р. з __.__.1999 р. буде
здійснюватися передавання упаковки із засобами криптозахисту,
опечатаної печаткою адміністратора АРМ-НБУ N ____ або N _____
до грошового сховища.
Підпис АЗІ
------------------------------------------------------------------
| | |16.02|19:00| Прізвище, підпис
17.02|09:00|Прізвище, підпис |17.02|19:00| Прізвище, підпис
... | | | | |
15.03|09:00|Прізвище, підпис | | |
------------------------------------------------------------------
Передача засобів криптозахисту на зберігання до грошового
сховища зупинена з 15.03.99.
------------------------------------------------------------------
Додаток 31
до п.16.8 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
ПОГОДЖЕНО ЗАТВЕРДЖЕНО
Керівник банківської установи Начальник регіонального
(або його заступник) управління НБУ
(або його заступник)
________ ____________________ ________ ____________________
(підпис) (прізвище, ініціали) (підпис) (прізвище, ініціали)
(печатка банківської установи) (печатка управління НБУ)
"___"___________ 199__ р. "___"___________ 199_ р.
Акт
про перевірку організації захисту електронних банківських документів
у _______________________________
(назва банківської установи)
"___"___________ 1999 р. м.___________
Комісія у складі:
представник служби захисту інформації _______________________
(назва)
управління Національного банку України ______________________;
(прізвище, ініціали)
адміністратор захисту інформації ______________________;
(прізвище, ініціали)
адміністратор АРМ-НБУ ________________________;
(прізвище, ініціали)
адміністратор САБ _________________________;
(прізвище, ініціали)
провела планову перевірку організації захисту електронних
банківських документів.
Перевірка здійснювалась на підставі Положення про
міжбанківські розрахунки в Україні, затвердженого постановою
Правління від 08.10.98 N 414, та Правил організації захисту
електронних банківських документів в установах, включених до
інформаційно-обчислювальної мережі Національного банку України,
затверджених постановою Правління НБУ від 10.06.99 N 280.
Перевіркою встановлено:
1. Виконання режимних вимог до приміщень
1.1. Приміщення, де обробляються електронні банківські
документи, мають такі характеристики:
ізольоване приміщення (так/ні);
має міцні стіни, стелю та підлогу (так/ні);
на вікнах встановлені надійні грати (так/ні);
_______________________________________________________;
(у разі відсутності - вказати причину)
двері в службове приміщення:
міцні (дерев'яні) (так/ні);
оббиті металевим листом (так/ні);
обладнані кодовим замком (так/ні);
обладнане стандартною сигналізацією:
пожежною (так/ні);
охоронною з трьома рубежами захисту (так/ні);
_________________________________________________;
(у разі відсутності - вказати конкретно)
сигналізація в неробочий час включається до
______________________________________________;
(вказати конкретно)
на посту охорони є інструкція про дії
охорони в разі спрацювання сигналізації,
пожежі, стихійного лиха тощо (так/ні);
наявна картка запису несанкціонованих
спрацювань сигналізації (так/ні);
виконується контроль порядку взяття
приміщення під охорону і надійного
спрацювання сигналізації (так/ні);
останній контроль був виконаний _______________.
(дата)
1.2. У приміщенні розташовані такі програмні комплекси:
_________________________________________________________________.
(вказати конкретно)
1.3. У приміщенні наявні сейфи (металеві шафи) для зберігання
засобів захисту інформації, документів до них у неробочий час та
під час перерви (так/ні).
1.4. Ключі від сейфів і вхідних дверей приміщення АРМ-НБУ і
печатки для опечатування зареєстровані в журналі обліку
адміністратора захисту інформації (так/ні).
1.5. Приміщення розташоване та обладнане так, щоб уникнути
безконтрольного поширення інформації електронних банківських
документів та засобів захисту інформації (акустично, візуально,
через електронні прилади або електромагнітні випромінювання) за
межі приміщення або банківської установи (контрольованої
території) (так/ні).
1.6. Усі співробітники банківської установи, що мають право
постійного допуску в приміщення АРМ-НБУ, призначені наказом по
банківській установі (так/ні).
1.7. Розміщення серверу локальної мережі банку, вузла
електронної пошти, АРМ бухгалтера САБ _______________________.
(вказати конкретно)
1.8. Розміщення робочого місця адміністратора захисту
інформації, наявність сейфа та його розміщення ___________________
_______________________________________________________.
(вказати конкретно)
1.9. Розміщення робочих місць АРМ бухгалтера електронних
платежів _____________________________________________.
(вказати конкретно)
1.10. Розміщення інших робочих місць САБ та АРМ інформаційних
задач _________________________________________.
(вказати недоліки, якщо вони мають місце)
2. Криптографічні засоби захисту та робота з ними
2.1. Використовуються такі засоби криптографічного захисту:
криптоблок АЗЕГО N _______;
електронна картка N ______;
криптоблок АЗБД N _______;
електронна картка N ________;
програмне забезпечення керування АЗБД ______________________;
програмний модуль генерації ключів СЕП _____________________;
програмний модуль генерації ключів для депозитарію _________;
інші _______________________________________________________;
бібліотеки накладання/перевірки ЕЦП _________________________
____________________________________________________________;
(мова програмування та дата створення)
таємні ключі записані на ГМД (Touch Memory) ___________.
2.2. Умови зберігання засобів криптозахисту АРМ-НБУ (сейф для
зберігання засобів криптозахисту розміщений в приміщенні АРМ-НБУ,
наявність журналу обліку засобів криптозахисту АРМ-НБУ,
правильність його заповнення).
2.3. Виконання вимог із технічних умов експлуатації
криптоблока, які надані в документації до нього _____(так/ні).
2.4. Наявність пломб та печаток на апаратурі захисту
(так/ні).
2.5. Для програмного комплексу АРМ-НБУ виконуються вимоги до
ПЕОМ:
операційна система MS DOS v. ____;
наявність вільної оперативної пам'яті ______ кБ;
наявність антивірусних програм та їх використання ___;
наявність іншого програмного забезпечення на ПЕОМ, де
розміщений АРМ-НБУ _____________________________________.
2.6. Наявність резервних джерел живлення (UPS,
дизель-генератор) ______________________________________ (так/ні).
2.7. Умови зберігання генератора ключів та його робочої копії
_______________________________________________________.
2.8. Кількість таємних ключів, які одночасно використовуються
у банківській установі:
таємний ключ АРМ-НБУ _________;
копія таємного ключа АРМ-НБУ ______________
(за наявності наказу по установі);
таємний ключ АРМ бухгалтера ___________;
копія таємного ключа АРМ бухгалтера __________
(за наявності наказу по установі);
таємні ключі операціоністів __________;
робочі місця для інформаційних задач з
наданням конкретних назв задач _________
(для формування реєстру тощо);
інші робочі місця (АРМ "Депо-облік",
"Депо-запит" тощо) - вказати конкретні задачі.
2.9. Наявність умов генерації ключів для робочих місць
______________________________________________________.
(вказати недоліки)
2.10. Умови зберігання таємних ключів відповідальними
виконавцями (у власних сейфах, у сейфі адміністратора захисту
інформації тощо). (У разі потреби може бути проведена перевірка
виконання умов використання та зберігання таємних ключів на
робочих місцях.)
2.11. Наявність випадків втрати або компрометації таємних
ключів, заходи, що були вжиті для запобігання повторенню таких
випадків __________________________________.
2.12. У банківській установі використовується САБ _______
________________, версія ________, розробник _________________.
2.13. У банківській установі використовується система
"клієнт-банк" __________________, версія___________, розробник
______________________.
До системи підключено ________ клієнтів.
2.14. Банківська установа має ___ безбалансових відділень та
___ віддалених робочих місць, де використовується програмне
забезпечення ____________________, розробник ____________________.
2.15. У банківській установі використовується локальна мережа
з операційною системою _______________________________.
Адміністратор захисту інформації контролює (або не контролює)
розподіл повноважень користувачів локальної мережі та виконує (або
не виконує) аудит роботи локальної мережі.
3. Призначення відповідальних осіб за роботу із засобами
криптозахисту
3.1. Усі особи, відповідальні за роботу із засобами
криптозахисту, призначені наказом по банківській установі.
Виявлені такі недоліки: ________________________________.
(вказати конкретно)
3.2. Наявність заборонених випадків суміщення обов'язків
_____________________________________________________________.
(вказати конкретно)
3.3. Наявність підписаних відповідальними особами
"зобов'язань" для усіх осіб, які працюють із засобами
криптозахисту (так/ні).
3.4. Наявність особистих печаток (штампів тощо) для
опечатування засобів криптозахисту, сейфів тощо ______ (так/ні).
3.5. Вибіркова перевірка знань нормативних документів з
питань захисту інформації відповідальними особами виявила:
_____________________________________________________________.
(вказати конкретно недоліки)
4. Організація діловодства з питань захисту інформації
4.1. Наявність:
справи N 1 адміністратора захисту;
справи N 2 адміністратора захисту;
журналу обліку адміністратора захисту.
4.2. Перевірка наявності необхідних документів у справі N 1
виявила такі недоліки: __________________________________.
(вказати конкретно)
4.3. Перевірка наявності належних документів у справі N 2
виявила такі недоліки: ____________________________.
(вказати конкретно)
4.4. Перевірка ведення журналу обліку адміністратора захисту,
наявності всіх необхідних розділів відповідно до Правил
організації захисту електронної банківської інформації.
__________________________________________________________________
(указати конкретні наявні недоліки)
4.5. Перевірка наявності архівів:
електронних платежів банківської установи;
роботи АРМ-НБУ, який включає арбітражні журнали роботи
АРМ-НБУ та захищений від модифікації протокол роботи);
відкритих ключів операціоністів, згенерованих у цій
банківській установі;
відпрацьованих таємних ключів усіх робочих місць банківської
установи (тільки до 31.12.97)
Висновки
1. Недоліки _________________________________________________
__________________________________________________________________
__________________________________________________________________
2. Строки усунення __________________________________________
3. Рекомендації _____________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Підписи членів комісії ________ ______________________
(підпис) (прізвище, ініціали)
________ ______________________
(підпис) (прізвище, ініціали)
________ ______________________
(підпис) (прізвище, ініціали)
З актом ознайомлені: ________ ______________________
(підпис) (прізвище, ініціали)
________ ______________________
(підпис) (прізвище, ініціали)
________ ______________________
(підпис) (прізвище, ініціали)
Примітка. Якщо банківська установа працює лише в інформаційних задачах, то пункти перевірки, що стосуються системи електронних платежів, з акта вилучаються.
Додаток 32
до п.9.19 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Таблиця суміщення функціональних обов'язків
------------------------------------------------------------------
| | (1)| (2)| (3)| (4)| (5)|(6)| (7)| (8)| (9)
------------------+---+----+----+----+----+----+---+----+----+----
Адміністратор |(1)| - | х | х | х | х | Д | х | Д | Д
захисту інформації| | | | | | | | | |
Адміністратор |(2)| х | - | х | Д | Р | х | х | Д | Д
АРМ-НБУ | | | | | | | | | |
Оператор АРМ |(3)| х | х | - | х | х | х | х | Д | Д
бухгалтера | | | | | | | | | |
(ключ В) | | | | | | | | | |
Оператор АРМ |(4)| х | Д | х | - | х | Р | х | Д | Д
технолога | | | | | | | | | |
(ключ А) | | | | | | | | | |
Операціоніст |(5)| х | Р | х | х | - | х | х | Д | Д
Адміністратор САБ |(6)| Д | х | х | Р | х | - | Д | Р | Р
Відповідальний за |(7)| х | х | х | х | х | Д | - | х | х
розробку САБ | | | | | | | | | |
Адміністратор |(8)| Д | Д | Д | Д | Д | Р | х | - | Р
локальної мережі | | | | | | | | | |
Адміністратор |(9)| Д | Д | Д | Д | Д | Р | х | Р | -
електронної пошти | | | | | | | | | |
------------------------------------------------------------------
де:
Р - дозволене поєднання обов'язків;
Д - допустиме, але поєднання обов'язків не рекомендується;
х - заборонене поєднання обов'язків.