Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 10 Закону України "Про захист інформації в інформаційно-комунікаційних системах", з метою врегулювання взаємовідносин між Національним банком України і банками України, державними, небанківськими установами, що використовують засоби криптографічного захисту інформації Національного банку України, Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про використання засобів криптографічного захисту інформації Національного банку України, що додається.

2. Визнати такими, що втратили чинність:

1) постанову Правління Національного банку України від 26 листопада 2015 року № 829 "Про затвердження нормативно-правових актів з питань інформаційної безпеки";

2) постанову Правління Національного банку України від 17 серпня 2017 року № 79 "Про затвердження Змін до Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України";

3) постанову Правління Національного банку України від 05 жовтня 2018 року № 106 "Про внесення змін до Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України";

4) постанову Правління Національного банку України від 13 лютого 2019 року № 38 "Про внесення змін до Положення про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України";

5) постанову Правління Національного банку України від 14 лютого 2022 року № 15 "Про затвердження Змін до Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України".

3. Департаменту безпеки (Олександр Паламарчук) після офіційного опублікування довести до відома банків України, їх філій, філій іноземних банків, органів Державної казначейської служби України, інших органів державної влади, небанківських установ, які використовують засоби криптографічного захисту інформації Національного банку України, інформацію про прийняття цієї постанови.

4. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Андрія Пишного.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність", "Про захист інформації в інформаційно-комунікаційних системах" і визначає порядок використання (отримання, експлуатації, зберігання, повернення) засобів криптографічного захисту інформації Національного банку України (далі - Національний банк) банками України, їх філіями, філіями іноземних банків, державними установами, небанківськими установами (далі - організація) та здійснення контролю за їх використанням.

2. Терміни та скорочення в цьому Положенні вживаються в такому значенні:

1) адміністратор інформаційної безпеки - працівник, призначений внутрішнім документом організації відповідальним за використання (отримання, експлуатацію, зберігання, повернення) засобів криптографічного захисту інформації Національного банку в цій організації;

2) АРМ-НБУ-інформаційний (далі - АРМ-ІНФ) - інформаційна система Національного банку, призначена для обміну в захищеному вигляді неплатіжною інформацією з обмеженим доступом (крім службової інформації та інформації, яка містить відомості, що становлять державну таємницю);

3) АРМ МГК - інформаційна система Національного банку, призначена для управління ключовими даними засобами модуля генерації ключів криптографічного захисту інформації Національного банку;

4) бібліотека криптографічних функцій (далі - криптобібліотека) - програмний засіб криптографічного захисту інформації Національного банку, призначений для створення і перевірки електронного підпису Національного банку, шифрування та розшифрування інформації в інформаційних системах Національного банку;

5) електронний журнал роботи модуля генерації ключів криптографічного захисту інформації Національного банку (далі - журнал МГК) - захищений від модифікації протокол роботи модуля генерації ключів криптографічного захисту інформації Національного банку, в якому фіксуються із зазначенням дати та часу всі події управління ключовими даними;

6) ЄДБО - Єдиний договір банківського обслуговування та надання інших послуг Національним банком;

7) засіб криптографічного захисту інформації Національного банку (далі - засіб КЗІ) - програмний, апаратно-програмний або апаратний засіб, призначений для криптографічного захисту інформації, розробником якого є Національний банк або розроблений на замовлення Національного банку;

8) інформаційна система Національного банку - інформаційнокомунікаційна система, створена Національним банком для виконання покладених на нього функцій або для потреб банківської системи України;

9) модуль генерації ключів криптографічного захисту інформації Національного банку (далі - МГК) - апаратно-програмний засіб КЗІ, призначений для генерації ключової пари;

10) організація-замовник - організація, що приєднується до ЄДБО для отримання послуг Національного банку із надання в користування засобів КЗІ та АРМ-ІНФ або укладає договір про використання засобів КЗІ;

11) пара ключів (далі - ключова пара) - особистий ключ та відповідний йому відкритий ключ;

12) СЕП - система електронних платежів Національного банку.

Термін "електронний підпис Національного банку України" вживається у значенні, визначеному в Положенні про застосування електронного підпису та електронної печатки, затвердженому постановою Правління Національного банку України від 14 серпня 2017 року № 78 (у редакції постанови Правління Національного банку України від 25 лютого 2019 року № 42) ( зі змінами).

Термін "правила СЕП" вживається у значенні, визначеному в Інструкції про виконання міжбанківських платіжних операцій в Україні в національній валюті, затвердженій постановою Правління Національного банку України від 03 березня 2023 року № 16.

Інші терміни в цьому Положенні вживаються в значеннях, визначених у Законах України "Про електронні документи та електронний документообіг", "Про захист інформації в інформаційно-комунікаційних системах", "Про електронні довірчі послуги", "Про банки та банківську діяльність".

3. Національний банк має право здійснювати контроль за використанням засобів КЗІ відповідно до розділу V цього Положення.

4. Організація зобов’язана використовувати засоби КЗІ виключно для забезпечення роботи в інформаційних системах Національного банку.

5. Національний банк надає організації такі засоби КЗІ:

1) МГК (основний та резервний);

2) криптобібліотеки.

Національний банк має право надати організації додаткову кількість МГК у разі отримання від організації листа з відповідним обґрунтуванням потреби.

6. Національний банк надає криптобібліотеки організації:

1) як окремі модулі для вбудовування в систему автоматизації організації з метою забезпечення інформаційної взаємодії з інформаційними системами Національного банку;

2) як складові клієнтських частин інформаційних систем Національного банку.

7. Національний банк для забезпечення обміну в захищеному вигляді інформацією з обмеженим доступом (крім службової інформації та інформації, яка містить відомості, що становлять державну таємницю) надає організації АРМ-ІНФ із вбудованою криптобібліотекою.

8. Національний банк створює криптографічну систему (у складі системи інформаційної безпеки) в інформаційній системі Національного банку з урахуванням принципів криптографічного захисту інформаційних систем Національного банку, установлених у пункті 7 розділу I Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженого постановою Правління Національного банку України від 28 вересня 2017 року № 95 (далі - Положення № 95). Організація зобов’язана налаштувати криптографічну систему в інформаційній системі Національного банку згідно з вимогами, визначеними у відповідній експлуатаційній документації до інформаційної системи Національного банку та/або правилах СЕП.

9. Організація має право генерувати ключову пару з використанням АРМ МГК згідно з експлуатаційною документацією до АРМ МГК. Особистий ключ має бути захищений паролем відповідальної особи, яка генерує та використовує особистий ключ.

Організація після генерації ключової пари зобов’язана надіслати відкритий ключ до Національного банку для його сертифікації. Залежно від призначення відкритого ключа сертифікація здійснюється в онлайн- або офлайн-режимі. Для здійснення сертифікації в офлайн-режимі організація зобов’язана надсилати відкритий ключ до Національного банку не пізніше ніж за три робочі дні до закінчення строку дії сертифіката такого відкритого ключа.

В онлайн-режимі відкритий ключ сертифікується відразу після його отримання Національним банком. Початком строку дії сертифіката ключа є момент сертифікації відкритого ключа.

В офлайн-режимі відкритий ключ сертифікується не пізніше наступного робочого дня після його отримання Національним банком. Початком строку дії сертифіката ключа є 00.01 наступного календарного дня після дня сертифікації відкритого ключа.

Строк дії сертифіката ключа встановлюється Національним банком залежно від призначення відкритого ключа та становить від 120 діб до 2 років. Національний банк має право змінити строк дії сертифіката ключа у зв’язку з уведенням воєнного стану, настанням кризових та/або надзвичайних ситуацій.

10. Організація зобов’язана забезпечити виконання вимог цього Положення з урахуванням власної політики використання криптографічних засобів для захисту інформації та внутрішніх документів, що описують процес управління ключами, впровадженими організацією.

11. Організації заборонено:

1) передавати МГК іншим установам або організаціям;

2) використовувати засоби КЗІ в системі автоматизації організації, якщо це не обумовлено технологією роботи інформаційних систем Національного банку відповідно до експлуатаційної документації.

12. Організація зобов’язана вжити заходів для усунення загрози втрати МГК в умовах:

1) дії воєнного стану;

2) настання кризових та/або надзвичайних ситуацій.

Організація має право визначити, задокументувати та запровадити тимчасовий порядок експлуатації засобів КЗІ та/або управління ключами в умовах, що визначені в пункті 12 розділу II цього Положення (далі - тимчасовий порядок). Організація зобов’язана повідомити Національний банк про впровадження та/або скасування дії тимчасового порядку протягом трьох робочих днів із дня, наступного за днем його впровадження та/або скасування.

13. Організація зобов’язана призначити внутрішнім документом адміністратора/адміністраторів інформаційної безпеки та визначити його/їх права, обов’язки, функції, відповідальність за засоби КЗІ в посадовій інструкції. Кількість адміністраторів інформаційної безпеки визначається з урахуванням особливостей діяльності організації. Організація зобов’язана забезпечувати актуальність внутрішніх документів про призначення адміністратора/адміністраторів інформаційної безпеки.

14. Адміністратора інформаційної безпеки заборонено призначати відповідальним за:

1) використання особистого ключа адміністратора АРМ-ІНФ та/або оператора технологічних місць (крім технологічних місць, що пов’язані з виконанням функцій забезпечення інформаційної безпеки) інформаційних систем Національного банку;

2) розроблення або супроводження (адміністрування) системи автоматизації організації;

3) супроводження (адміністрування) інформаційних систем Національного банку.

15. Умовами для отримання засобів КЗІ та АРМ-ІНФ є:

1) приєднання організації-замовника до ЄДБО для отримання послуг Національного банку із надання в користування засобів КЗІ та АРМ-ІНФ, крім випадків, якщо організацією-замовником є державна установа. Для державних установ - укладення договору про використання засобів криптографічного захисту інформації Національного банку України (далі - Договір) відповідно до зразка, наведеного в додатку 1 до цього Положення;

2) призначення адміністратора інформаційної безпеки та відповідальних осіб за зберігання та використання особистих ключів;

3) наявність умов зберігання МГК;

4) наявність приміщень, що відповідають вимогам пункту 44 розділу IV цього Положення, в яких будуть розміщені АРМ-ІНФ, АРМ МГК.

Організація після виконання цих умов надсилає Національному банку лист про готовність отримати засоби КЗІ.

16. Національний банк визначає готовність організації до використання засобів КЗІ відповідно до пункту 51 розділу V цього Положення. Національний банк у разі відсутності недоліків за результатами аналізу інформації, отриманої від організації у відповідь на запит, виготовляє МГК та інформує організацію про можливість і спосіб отримання засобів КЗІ.

17. Організація для отримання МГК зобов’язана надіслати до Національного банку засобами системи електронної пошти Національного банку або на офіційну електронну поштову скриньку Національного банку листа, в якому зазначаються номер/дата укладення ЄДБО/Договору, прізвище, ім’я, по батькові (далі - ПІБ) адміністратора інформаційної безпеки, що отримує МГК, реквізити документа, що засвідчує його особу, дата його прибуття до Національного банку (далі - Лист на отримання МГК) та додається копія документа про його призначення адміністратором інформаційної безпеки. Лист на отримання МГК підписується кваліфікованим електронним підписом керівника організації.

Адміністратор інформаційної безпеки зобов’язаний прибути до Національного банку з документом, який засвідчує його особу та в термін, зазначений у Листі на отримання МГК.

18. Національний банк надає шляхом розміщення на сторінці офіційного Інтернет-представництва Національного банку:

1) актуальну інсталяційну версію АРМ-ІНФ із вбудованою криптобібліотекою, останні оновлення до нього, експлуатаційну документацію та інструктивні матеріали щодо технічних питань функціонування АРМ-ІНФ;

2) актуальну інсталяційну версію АРМ МГК, останні оновлення до нього, експлуатаційну документацію;

3) актуальні версії криптобібліотек, супровідну документацію до них.

19. Організації не дозволяється розташовувати і використовувати МГК та АРМ-ІНФ за іншою адресою, ніж це зазначено в додатку 2 до ЄДБО/додатку до Договору. Організація-замовник зобов’язана внести зміни до додатка 2 до ЄДБО/додатка до Договору в разі зміни адреси розташування засобів КЗІ та/або АРМ-ІНФ, крім випадків запровадження тимчасового порядку відповідно до пункту 12 розділу II цього Положення.

20. Організація зобов’язана повернути МГК до Національного банку в разі:

1) розірвання Договору, укладеного відповідно до пункту 15 розділу III цього Положення;

2) виходу з ладу МГК;

3) на вимогу Національного банку в разі зміни складу засобів КЗІ або технології їх використання.

Криптобібліотеки, АРМ-ІНФ, АРМ МГК поверненню до Національного банку не підлягають.

21. Організація у випадках, передбачених у підпункті 1 пункту 20 розділу III цього Положення, зобов’язана:

1) ужити заходів щодо знищення на місці ключових даних, АРМ-ІНФ, АРМ МГК, криптобібліотек;

2) ужити заходів щодо передавання до архіву організації журналу обліку засобів КЗІ, журналу МГК;

3) надіслати до Національного банку засобами системи електронної пошти Національного банку або на офіційну електронну поштову скриньку Національного банку листа, підписаного кваліфікованим електронним підписом керівника організації, зазначивши дату виконання заходів, передбачених у підпунктах 1, 2 пункту 21 розділу III цього Положення, ПІБ працівника організації, що прибуде для повернення МГК, реквізити документа, що засвідчує його особу, дату його прибуття;

4) повернути МГК до Національного банку.

22. Організація у випадках, передбачених у підпунктах 2, 3 пункту 20 розділу III цього Положення, зобов’язана:

1) надіслати до Національного банку засобами системи електронної пошти Національного банку або на офіційну електронну поштову скриньку Національного банку листа, підписаного кваліфікованим електронним підписом керівника організації, зазначивши ПІБ працівника організації, що прибуде для повернення МГК, реквізити документа, що засвідчує його особу, дату його прибуття;

2) повернути МГК до Національного банку.

Організація має право одночасно під час повернення МГК, що вийшов з ладу, отримати новий МГК за умови виконання підпунктів 1, 2 пункту 35 розділу IV цього Положення.

23. Організація зобов’язана призначити внутрішнім документом відповідальних осіб за використання та зберігання особистих ключів (далі - відповідальна особа):

1) адміністратора АРМ-ІНФ;

2) операторів технологічних місць інформаційних систем Національного банку.

Кількість відповідальних осіб визначається з урахуванням особливостей діяльності організації, технології/регламенту роботи інформаційних систем Національного банку. Організація має право призначати осіб, які виконуватимуть обов’язки відповідальних осіб у разі їх відсутності.

24. Внутрішній документ організації про призначення відповідальних осіб має містити посаду, ініціали, прізвище працівника, назву технологічного місця інформаційної системи Національного банку, ідентифікатор користувача в інформаційній системі Національного банку. Організація зобов’язана забезпечувати актуальність внутрішніх документів про призначення відповідальних осіб.

25. Керівник організації зобов’язаний забезпечити подання до Національного банку копії документа або виписки з нього в електронній формі про покладання/звільнення від виконання відповідних обов’язків адміністратора інформаційної безпеки, адміністратора АРМ-ІНФ протягом трьох робочих днів із дня, наступного за днем їх покладання/звільнення від виконання.

26. Відповідальні особи повинні підписати зобов’язання відповідно до форми, наведеної в додатку 2 до цього Положення (далі - Зобов’язання).

27. Організація зобов’язана дотримуватися такого порядку допуску відповідальних осіб:

1) допуск до роботи з МГК, АРМ МГК має адміністратор інформаційної безпеки;

2) допуск до роботи з АРМ-ІНФ має адміністратор АРМ-ІНФ;

3) допуск до роботи з особистим ключем має відповідальна особа, однак тільки до свого особистого ключа;

4) допуск до роботи з АРМ МГК тільки для генерації ключової пари і тільки у присутності адміністратора інформаційної безпеки має відповідальна особа;

5) допуск до АРМ-ІНФ тільки для виконання функції контролю і тільки у присутності адміністратора АРМ-ІНФ має адміністратор інформаційної безпеки.

28. Адміністратор інформаційної безпеки зобов’язаний забезпечити умови для генерації ключової пари та доступ до АРМ МГК відповідальній особі за наявності:

1) внутрішнього документа організації про призначення відповідальної особи;

2) підписаного працівником Зобов’язання.

29. Відповідальна особа після отримання доступу до АРМ МГК зобов’язана самостійно генерувати ключову пару на АРМ МГК відповідно до експлуатаційної документації у присутності адміністратора інформаційної безпеки. Усі спроби генерації ключової пари, включаючи й невдалі, фіксуються в журналі МГК в автоматичному режимі.

Адміністратор інформаційної безпеки має право надавати віддалений доступ до АРМ МГК відповідальній особі за умови її ідентифікації та дотримання технологічної дисципліни під час роботи з АРМ МГК.

Організація зобов’язана здійснювати автоматизоване протоколювання всіх подій віддаленого доступу до АРМ МГК у захищених від несанкціонованої модифікації електронних журналах із забезпеченням їх збереження упродовж двох років. Організація має право самостійно визначати засоби (технології) для автоматизації такого процесу. Порядок ідентифікації відповідальної особи, що здійснюється адміністратором інформаційної безпеки перед наданням віддаленого доступу до АРМ МГК, визначається внутрішнім документом, що затверджується керівником організації.

30. Адміністратор інформаційної безпеки зобов’язаний:

1) вести облік МГК під час отримання, заміни та повернення до Національного банку в журналі обліку засобів КЗІ, який повинен містити відомості про серійний номер, дату отримання/повернення, прізвище, ініціали особи, яка отримала засоби МГК (дата, підпис), відмітку про повернення МГК (дата, підпис);

2) вести облік криптобібліотек під час отримання, заміни в журналі обліку засобів КЗІ, який повинен містити відомості про назву та версію криптобібліотеки, дату отримання/заміни, прізвище, ініціали особи, яка отримала кріптобібліотеку (дата, підпис), відмітку про вбудовування/заміну (назва програмного забезпечення, дата, підпис);

3) забезпечувати зберігання МГК та журналу обліку засобів КЗІ;