Відповідно до статей 7, 15 та 56 Закону України "Про Національний банк України", з метою вдосконалення процесів використання засобів захисту інформації Національного банку України Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Унести зміни до Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затверджених постановою Правління Національного банку України від 26 листопада 2015 року № 829 (далі - Правила), виклавши їх у новій редакції, що додається.

2. Департаменту безпеки (Скомаровський О.А.) після офіційного опублікування довести до відома банків України та інших установ, які використовують засоби захисту інформації Національного банку України, інформацію про прийняття цієї постанови.

3. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Смолія Я.В.

4. Постанова набирає чинності з 31 березня 2019 року.

1. Ці Правила розроблені відповідно до статей 7, 56 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність", Законів України "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України у сфері інформаційної безпеки.

2. У цих Правилах терміни та скорочення вживаються в такому значенні:

1) АРМ ПМГК - автоматизоване робоче місце організації, на якому виконується управління ключовими даними засобами ПМГК;

2) електронний журнал ПМГК (далі - журнал ПМГК ) - захищений від модифікації протокол роботи АРМ ПМГК, у якому фіксуються із зазначенням дати та часу всі події управління ключовими даними організації;

3) захищений носій ТК - пристрій, призначений для зберігання ТК, який має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на нього даних від несанкціонованого доступу та від безпосереднього ознайомлення із значенням параметрів ТК.

Інші терміни та скорочення, що вживаються в цих Правилах, використовуються в значеннях, визначених Законом України "Про електронні довірчі послуги", Положенням про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженим постановою Правління Національного банку України від 26 листопада 2015 року № 829 (зі змінами) (далі - Положення про захист), Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року № 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909 (зі змінами) (далі - Інструкція про міжбанківський переказ коштів).

3. Ці Правила регламентують порядок зберігання, використання та обліку ЗЗІ організаціями, які отримали ці ЗЗІ відповідно до Положення про захист. Національний банк України (далі - Національний банк) має право здійснювати перевірку виконання організаціями вимог цих Правил.

4. Організація зобов'язана призначити внутрішнім документом відповідальних осіб за зберігання та використання ЗЗІ (далі - відповідальна особа) з урахуванням особливостей діяльності організації:

1) адміністратора інформаційної безпеки;

2) адміністратора АРМ-СЕП;

3) адміністратора АРМ-НБУ-інф;

4) оператора АРМ бухгалтера САБ;

5) технолога САБ;

6) операціоніста САБ;

7) операторів робочих і технологічних місць САБ та інформаційних задач. Організація має право призначати осіб, які виконуватимуть обов'язки відповідальних осіб у разі їх відсутності.

Призначення відповідальних осіб в АРМ-СЕП та САБ стосується тільки безпосередніх учасників СЕП.

5. Внутрішній документ організації про призначення відповідальних осіб має містити посаду, ініціали, прізвище працівника, назву ЗЗІ, тип ТК з ідентифікатором ключа.

Організація зобов'язана забезпечувати актуальність внутрішніх документів про призначення відповідальних осіб.

6. Керівник організації зобов'язаний забезпечити подання до Національного банку копії документа або виписки з нього в електронній або паперовій формі про покладання/звільнення від виконання відповідних обов'язків адміністраторів інформаційної безпеки, адміністраторів АРМ-СЕП, адміністраторів АРМ-НБУ-інф, операторів АРМ бухгалтера САБ протягом трьох робочих днів із дня, наступного за днем їх покладання/звільнення від виконання.

7. Відповідальні особи зобов'язані підписати зобов'язання, яке є додатком до цих Правил (далі - Зобов'язання).

8. Адміністратор інформаційної безпеки зобов'язаний забезпечити генерацію ключової пари (ТК та ВК) відповідальній особі за наявності:

1) внутрішнього документа організації про призначення відповідальної особи;

2) підписаного працівником Зобов'язання.

9. Відповідальною особою заборонено призначати:

1) адміністратора інформаційної безпеки - за зберігання та використання будь-якого ТК;

2) адміністратора АРМ-СЕП - за зберігання та використання ТК оператора АРМ бухгалтера САБ;

3) операціоніста САБ - за зберігання та використання ТК оператора АРМ бухгалтера САБ та/або ТК технолога САБ.

Адміністратор інформаційної безпеки та адміністратор АРМ-СЕП не можуть бути уповноваженими за розроблення або супроводження (адміністрування) САБ.

10. Адміністратор інформаційної безпеки зобов'язаний:

1) вести облік ЗЗІ під час отримання, заміни та повернення ЗЗІ до Національного банку в журналі обліку ЗЗІ, який повинен містити відомості про назву ЗЗІ та його заводський номер, дату отримання/повернення ЗЗІ, прізвище, ініціали особи, яка отримала ЗЗІ (дата, підпис), відмітку про повернення ЗЗІ (дата, підпис);

2) забезпечувати зберігання ЗЗІ та журналу обліку ЗЗІ;

3) здійснювати тестування ПМГК;

4) забезпечувати технологічну дисципліну під час роботи АРМ ПМГК;

5) забезпечувати налаштування комп'ютера з АРМ ПМГК відповідно до експлуатаційної документації, вимог та рекомендацій Національного банку;

6) забезпечувати умови генерації ключових пар (ТК та ВК) на АРМ ПМГК для відповідальних осіб;

7) забезпечувати відправлення на сертифікацію до Національного банку ВК, що потребують сертифікації;

8) здійснювати резервне копіювання електронного журналу ПМГК у встановленому порядку;

9) здійснювати передавання ВК операціоністів САБ до архіву організації в установленому порядку;

10) здійснювати контроль за налаштуванням АРМ-СЕП, АРМ-НБУ-інф відповідно до експлуатаційної документації, вимог та рекомендацій Національного банку;

11) здійснювати контроль за дотриманням відповідальними особами цих Правил, внутрішнього порядку зберігання ТК;

12) здійснювати підтримку актуальності ключових даних організації;

13) інформувати керівника організації про загрози і випадки компрометації ЗЗІ та про вихід ЗЗІ з ладу.

11. Адміністратор АРМ-СЕП, адміністратор АРМ-НБУ-інф, оператор АРМ бухгалтера САБ, операціоніст САБ, технолог САБ, оператор робочого, технологічного місця САБ, оператор інформаційної задачі, зобов'язані:

1) забезпечувати технологічну дисципліну в роботі з програмним забезпеченням робочого місця;

2) особисто здійснювати генерацію ключової пари (ТК та ВК) (з урахуванням часу на сертифікацію) і знищення ТК (копій - за наявністю);

3) здійснювати контроль за строком дії власного ТК;

4) виконувати правила використання і зберігання ЗЗІ;

5) зберігати ТК у неробочий час і в робочий час, якщо вони не використовуються в роботі, у спосіб, який виключає можливість несанкціонованого доступу до ТК;

6) інформувати адміністратора інформаційної безпеки про загрози і випадки компрометації ЗЗІ та про вихід ЗЗІ з ладу.

12. Адміністратор АРМ-СЕП, адміністратор АРМ-НБУ-інф зобов'язані:

1) забезпечувати налаштування комп'ютера з АРМ-СЕП, комп'ютера з АРМ-НБУ-інф відповідно до експлуатаційної документації, вимог та рекомендацій Національного банку;

2) у разі передавання ЗЗІ між собою вести журнали приймання-передавання ЗЗІ адміністраторів відповідних АРМів (далі - журнал приймання-передавання ЗЗІ), що повинен містити відомості про назву ЗЗІ та його заводський номер, дату отримання/повернення ЗЗІ, прізвище, ініціали особи, що отримала ЗЗІ (дата, підпис), відмітку про повернення ЗЗІ (дата, підпис).

13. Організація зобов'язана дотримуватися такого порядку допуску відповідальних осіб до ЗЗІ:

1) допуск до роботи з ПМГК має адміністратор інформаційної безпеки;

2) допуск до роботи з АКЗІ, СК, ТК АРМ-СЕП має адміністратор АРМ-СЕП;

3) допуск до роботи з ТК АРМ-НБУ-інф має адміністратор АРМ-НБУ-інф;

4) допуск до роботи з ТК робочих і технологічних місць САБ та інформаційних задач має відповідальна особа і тільки до власного ТК;

5) відповідальні особи виконують генерацію ключової пари (ТК та ВК) за допомогою ПМГК в присутності адміністратора інформаційної безпеки;

6) адміністратор інформаційної безпеки виконує функції контролю на АРМ-СЕП, АРМ-НБУ-інф у присутності адміністратора АРМ-СЕП, адміністратора АРМ-НБУ-інф.

14. Вимоги цього розділу поширюються тільки на організації, які є безпосередніми учасниками СЕП.

15. Адміністратор інформаційної безпеки зобов'язаний після отримання АКЗІ та СК зробити відповідний запис у журналі обліку ЗЗІ.

16. Адміністратор інформаційної безпеки зобов'язаний передати АКЗІ адміністратору АРМ-СЕП і зробити запис у журналі обліку ЗЗІ.