1. Правова система ipLex360
  2. Законодавство
  3. Постанова


ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
П О С Т А Н О В А
N 280 від 10.06.99
м.Київ

Зареєстровано в Міністерстві
юстиції України
30 серпня 1999 р.
за N 583/3876
( Постанова втратила чинність на підставі Постанови Національного банку N 112 від 02.04.2007 )
Про затвердження Правил організації захисту електронних банківських документів
( Із змінами, внесеними згідно з Постановами Національного банку N 495 від 04.12.2001 N 690 від 29.12.2004 )
З метою належного врегулювання питань організації захисту електронних банківських документів, керуючись Законом України "Про банки і банківську діяльність" та відповідно до Положення про міжбанківські розрахунки в Україні, затвердженого постановою Правління Національного банку України від 8.10.98 N 414, Правління
ПОСТАНОВЛЯЄ:
1. Затвердити Правила організації захисту електронних банківських документів в установах, включених до інформаційно-обчислювальної мережі Національного банку України (додаються).
( Пункт 1 із змінами, внесеними згідно з Постановою Національного банку N 690 від 29.12.2004 )
2. Керівникам банківських установ, начальникам Кримського республіканського, по м. Києву і області, обласних, Операційного, Головного управлінь Національного банку України, начальнику Центральної розрахункової палати протягом місяця з дня набуття чинності цієї постанови привести у відповідність із правилами організації захисту електронних банківських документів усі заходи організації захисту в установах.
3. Ця постанова набуває чинності через десять днів після державної реєстрації в Міністерстві юстиції України.
Голова В.А.Ющенко
Затверджено
Постанова Правління
Національного банку України
10.06.99 N 280
Правила організації захисту електронних банківських документів в установах, включених до інформаційно-обчислювальної мережі Національного банку України
1. Загальні положення
1.1. Правила організації захисту електронних банківських документів в установах, включених до інформаційно-обчислювальної мережі Національного банку України (далі - Правила) розроблені на основі Положення про міжбанківські розрахунки в Україні, затвердженого постановою Правління Національного банку України від 08.10.98 N 414 (далі - Положення).
1.2. Правила регламентують порядок отримання, обліку, передачі, використання та зберігання засобів криптозахисту НБУ, виконання правил інформаційної безпеки в установах, що є учасниками інформаційно-обчислювальної мережі Національного банку України.
1.3. Положення цього документа поширюються на всі установи, що працюють в інформаційно-обчислювальній мережі НБУ та мають програмний комплекс АРМ-НБУ й засоби криптографічного захисту НБУ. Надалі в тексті такі установи будуть умовно визначатися як банківські установи.
1.4. Положення цього документа не поширюються на програмні комплекси та системи захисту установ, що виконують функції, які не належать до завдань інформаційно-обчислювальної мережі НБУ.
Додаткові вимоги щодо технології та безпеки роботи внутрішніх платіжних систем банку та систем "клієнт-банк", що встановлюються НБУ, у цьому документі не розглядаються.
1.5. У разі виникнення ситуацій, не передбачених цим документом, їх необхідно розглядати в робочому порядку через службу захисту інформації регіонального управління та управління захисту інформації НБУ.
1.6. Відповідальність за виконання вимог захисту в середині банківської установи покладається на керівництво цієї установи.
2. Принципи побудови системи захисту
2.1. У тексті цих Правил скорочення вживаються у такому значенні:
АЗІ - адміністратор захисту інформації;
АРМ - автоматизоване робоче місце;
ГМД - гнучкий магнітний диск;
ДСК - для службового користування;
ВК - відкритий ключ;
ПЕОМ - персональна електронна обчислювальна машина;
ПМГК - програмний модуль генерації ключів;
РРП - регіональна розрахункова палата;
ТК - таємний ключ;
САБ - система автоматизації банку;
СЕП - система електронних платежів;
ТВК - таблиця відкритих ключів;
ЕК - електронна картка;
ЕЦП - електронний цифровий підпис.
2.2. Система захисту електронних банківських документів в інформаційно-обчислювальній мережі НБУ побудована згідно з додатком 6 до Положення про міжбанківські розрахунки в Україні.
2.3. Система захисту електронних банківських документів складається з комплексу апаратно-програмних засобів криптографічного захисту та ключової системи до них, технологічних і організаційних заходів щодо захисту інформації в інформаційно-обчислювальній мережі НБУ.
2.4. Система захисту електронних банківських документів охоплює всі етапи розробки, впровадження та експлуатації програмно-технічного забезпечення інформаційно-обчислювальної мережі та включає чіткий розподіл відповідальності на кожному етапі підготовки, обробки та виконання електронних банківських документів на всіх рівнях.
2.5. Система захисту електронних банківських документів в інформаційно-обчислювальній мережі є єдиною для усіх інформаційних задач НБУ і СЕП. Для підвищення ступеня захисту електронних розрахункових документів у СЕП використовуються додаткові засоби, включаючи бухгалтерський контроль. Технологічні та криптографічні засоби безпеки використовуються не тільки в СЕП, а й у всіх інформаційних задачах НБУ.
2.6. Для забезпечення контролю за виконанням вимог щодо захисту інформації у банківських установах, що є учасниками інформаційно-обчислювальної мережі НБУ, служби захисту інформації регіональних управлінь НБУ мають виконувати планові (а в разі потреби - і позапланові) перевірки всіх установ, що використовують засоби захисту інформації НБУ. Планові перевірки всіх банківських установ мають виконуватися не менше ніж 1 раз на рік.
За результатами перевірки складається акт перевірки (або довідка), у якому в разі виявлення недоліків мають бути встановлені строки їх усунення.
2.7. Підставою для виконання позапланових перевірок є відкриття банківської установи або переведення її на будь-яку модель роботи в СЕП за консолідованим кореспондентським рахунком, вказівки підрозділів НБУ, зміна розміщення банківської установи тощо.
2.8. На вимогу служби захисту інформації регіонального управління НБУ та управління захисту інформації НБУ всім службовим особам, відповідальним за виконання захисту електронних банківських документів, слід негайно надавати письмову або усну інформацію про стан засобів захисту інформації та їх використання, а також інформацію про стан захисту інформації у програмному забезпеченні САБ (у тому числі системи "клієнт-банк", а також інших систем, на які поширюються вимоги НБУ щодо інформаційної безпеки), технологію оброблення електронних банківських документів у банківській установі і систему захисту інформації при їх обробленні.
2.9. Забороняється передавати, навіть тимчасово, засоби захисту іншим установам або особам, у тому числі й іншим установам однієї юридичної особи.
2.10. У додатку 1 дано узагальнений перелік найбільш серйозних порушень в організації роботи з засобами захисту інформації НБУ.
3. Режимні вимоги до приміщень
3.1. Банківські установи, які є учасниками інформаційно-обчислювальної мережі НБУ та які використовують засоби захисту інформації НБУ, повинні виділити приміщення, де обробляються електронні банківські документи, працюють та зберігаються в неробочий час засоби захисту інформації, для яких обов'язковими є такі вимоги:
3.1.1. АРМ-НБУ розміщується в будівлі банківської установи в спеціально виділеному для цього приміщенні з обмеженим доступом, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування.
У разі використання АРМ-НБУ для цілодобової роботи приміщення може не опечатуватись, але повинно мати систему обмеження доступу до нього.
3.1.2. Вікно (вікна) в приміщенні, де розташоване АРМ-НБУ, повинно бути захищеним надійними гратами, якщо воно:
є внутрішнім і виходить в інше приміщення або коридор банківської установи;
є зовнішнім і розташоване на першому чи останньому поверсі банківської установи або до якого можна легко дістатися з даху сусіднього будинку, з розташованих поруч пожежних сходів, дерев, що близько ростуть, архітектурних деталей будинку тощо.
Допускається не встановлювати металеві грати на вікнах у разі застосування спеціального вікна, міцність якого підтверджена відповідним сертифікатом, узгодженим з Державною службою охорони України.
3.1.3. Приміщення АРМ-НБУ повинно бути обладнане системою сигналізації з трьома рубежами захисту:
1-й рубіж - захист за периметром (двері, вікна);
2-й рубіж - захист від переміщення приміщенням;
3-й рубіж - захист сейфа адміністратора АРМ-НБУ.
Охорона банківських установ визначається Інструкцією з організації охорони установ банків України, затвердженою постановою Правління НБУ та наказом Міністерства внутрішніх справ України від 25.12.98 N 548/963.
У разі виникнення надзвичайних ситуацій (пожежа, стихійне лихо та інші) банківська установа зобов'язана вжити всіх необхідних заходів щодо запобігання втратам та компрометації засобів захисту НБУ.
3.1.4. Усі питання, що пов'язані з проведенням підготовчо-організаційних робіт, монтажем і прийманням сигналізації приміщення для АРМ-НБУ в експлуатацію, вирішуються згідно з чинним законодавством.
Після завершення комплексу робіт, пов'язаних з установленням сигналізації, складається акт приймання сигналізації в експлуатацію між відповідним відділом охорони УВСУ і банківською установою.
Аналогічний акт складається у тому разі, якщо в процесі роботи банківської установи відбувається переведення АРМ-НБУ в інше приміщення.
3.1.5. Адміністратор захисту інформації має зберігати:
довідку за підписом керівника банківської установи про стан сигналізації в приміщенні АРМ-НБУ, складену в довільній формі, в якій потрібно вказати:
а) коли змонтована сигналізація, яким підрозділом охорони УВСУ, номер і дату акта приймання сигналізації;
б) яким чином організований вивід сигналізації приміщення АРМ-НБУ;
в) можливості здійснення перевірки системи сигналізації;
картку запису несанкціонованих спрацювань сигналізації приміщення АРМ-НБУ, в якій зазначається час спрацювання, причини, вжиті заходи.
У разі зміни схеми сигналізації або приміщення АРМ-НБУ довідка поновлюється або до неї вносяться відповідні корективи.
3.1.6. Адміністратори АРМ-НБУ й адміністратор захисту інформації зобов'язані здійснювати періодичний контроль порядку взяття приміщення під охорону і надійного спрацювання сигналізації. Питання перевірки ефективності спрацювання сигналізації вирішуються внутрішнім порядком, який повинен установлюватися керівником банківської установи.
3.1.7. Приміщення для АРМ-НБУ повинно мати сейфи (металеві міцні шафи) для зберігання засобів захисту інформації, документів до них у неробочий час та під час перерви.
3.1.8. Ключі від сейфів і вхідних дверей приміщення АРМ-НБУ та печатки для опечатування повинні бути обліковані в розділах 5, 6 журналу обліку адміністратора захисту інформації (додатки 24, 25).
У разі втрати ключів від вхідних дверей приміщення АРМ-НБУ необхідно здійснити заміну замка, провести службове розслідування. Матеріали розслідування зберігаються в справах адміністратора захисту інформації банківської установи.
3.1.9. У робочий час ключі від вхідних дверей приміщення АРМ-НБУ і сейфів адміністратора АРМ-НБУ знаходиться в адміністратора АРМ-НБУ, який заступив на зміну.
У разі відсутності в приміщенні АРМ-НБУ адміністратора АРМ-НБУ, який заступив на зміну, це приміщення повинне бути зачинене на ключ.
3.1.10. У неробочий час місцезнаходження ключів від вхідних дверей приміщення АРМ-НБУ (з урахуванням кількості їх примірників) визначається керівництвом банківської установи, виходячи з вимог інформаційної безпеки, протипожежної безпеки й інших конкретних умов.
Допускається зберігання ключів від сейфів адміністратора АРМ-НБУ в опечатаному вигляді в приміщенні АРМ-НБУ.
3.1.11. У разі передачі ключів від вхідних дверей приміщення АРМ-НБУ на пост позавідомчої охорони вони повинні передаватися в опечатаному за допомогою печатки адміністратора АРМ-НБУ вигляді з відповідним записом у журналі та підписом адміністратора АРМ-НБУ, який здав зміну.
3.1.12. Приміщення має бути розташоване та обладнане так, щоб уникнути безконтрольного поширення інформації електронних банківських документів та засобів захисту інформації (акустично, візуально, через електронні прилади або електромагнітні випромінювання) за межі приміщення або банківської установи (контрольованої території).
3.1.13. Співробітники банківської установи, які мають право допуску в приміщення АРМ-НБУ, призначаються наказом по банківській установі (додаток 2) і реєструються у розділі 4 журналу обліку адміністратора захисту інформації (додаток 23).
3.1.14. Право допуску в приміщення АРМ-НБУ мають:
керівник банківської установи (особа, яка виконує його обов'язки);
заступник керівника банківської установи, який призначений відповідальним за організацію захисту електронної банківської інформації;
адміністратори АРМ-НБУ;
адміністратори захисту інформації;
інші співробітники банківської установи, які постійно вирішують питання обслуговування приміщення і АРМ-НБУ (програміст, прибиральниця тощо).
3.1.15. Співробітники внутрішньобанківської служби захисту інформації (якщо вони не призначені наказом по банківській установі як відповідальні за засоби криптозахисту) мають право обмеженого доступу до приміщення АРМ-НБУ і лише для вирішення питань, що належать до їх компетенції. При цьому права допуску до роботи із засобами криптозахисту вони не мають.
3.1.16. Усі співробітники банківської установи, які мають право допуску до приміщення АРМ-НБУ, зобов'язані перебувати в приміщенні АРМ-НБУ тільки на час виконання своїх обов'язків, що пов'язані з роботою АРМ-НБУ, і тільки в присутності адміністратора АРМ-НБУ, який заступив на зміну.
3.1.17. Співробітники банківської установи для вирішення разових питань допускаються до приміщення АРМ-НБУ на підставі усного розпорядження керівника банківської установи (або особи, яка виконує його обов'язки) лише в присутності адміністратора захисту інформації або адміністратора АРМ-НБУ і в журнал обліку адміністратора захисту інформації не вписуються.
3.1.18. Після ремонту приміщення або проведення інших ремонтних робіт рекомендується обстежити приміщення та обладнання з метою вилучення пристроїв викрадення інформації.
3.1.19. Для обмеження доступу до електронної інформації банку рекомендується розміщати сервер локальної мережі банку, вузол електронної пошти, АРМ бухгалтера САБ, АРМ-НБУ в окремих ізольованих приміщеннях.
У разі неможливості розміщення в ізольованих приміщеннях сервер локальної мережі банку та вузол електронної пошти дозволяється розмістити в одному приміщенні. Не допускається розміщати в одному приміщенні АРМ НБУ та АРМ бухгалтера САБ.
3.2. Перед отриманням засобів криптозахисту та підключенням до інформаційно-обчислювальної мережі НБУ установа подає до регіонального управління НБУ заяву на проведення перевірки виконання режимних умов до приміщень.
3.3. Усі банківські установи з питань захисту інформації обслуговуються службою захисту регіонального управління НБУ за місцем розташування банківської установи, незалежно від моделі обслуговування кореспондентського рахунку.
Банківські установи м.Києва та Київської області обслуговуються відділом захисту інформації Центральної розрахункової палати НБУ.
3.4. Банківська установа повинна повідомляти службу захисту інформації регіонального управління НБУ, в якому вона отримала засоби захисту інформації, про зміну місцезнаходження установи та зміну розміщення робочих місць, на яких використовуються засоби захисту інформації, протягом трьох робочих днів.
Служба захисту інформації регіонального управління НБУ протягом трьох робочих днів повинна організувати перевірку виконання режимних умов до приміщень зі складанням відповідного акта.
3.5. Робоче місце адміністратора захисту інформації повинно містити сейф адміністратора захисту інформації, призначений для зберігання програмного модуля генерації ключів, справ і журналу обліку адміністратора захисту інформації, таємних ключів операторів робочих місць САБ тощо.
Вимоги щодо обладнання сейфів сигналізацією не висуваються, але приміщення з цим робочим місцем повинно мати охоронну сигналізацію та опечатуватись у неробочий час.
3.5.1. Робоче місце адміністратора захисту інформації може бути розміщено в будь-якому приміщенні банківської установи за винятком кімнати АРМ-НБУ, АРМ бухгалтера і тих приміщень, куди (виходячи з режимних міркувань) доступ адміністратора АРМ-НБУ, АРМ бухгалтера і операціоністів заборонений.
3.5.2. Адміністратор захисту інформації повинен мати робоче місце, обладнане ПЕОМ, що не підключена до локальної мережі банку під час копіювання ПМГК і генерування ключів.
3.6. Інші робочі місця САБ рекомендується розміщувати в приміщеннях з обмеженим доступом. Таке приміщення повинне мати сейф оператора робочого місця для зберігання таємного ключа.
Вимоги щодо обладнання сейфів сигналізацією не висуваються.
3.7. У приміщенні АРМ-НБУ, якщо немає іншої можливості, дозволяється додатково розміщувати:
робоче місце адміністратора електронної пошти;
робоче місце адміністратора локальної мережі.
При цьому слід виконувати такі вимоги:
адміністратор електронної пошти (адміністратор локальної мережі) повинен бути адміністратором АРМ-НБУ;
кількість адміністраторів АРМ-НБУ не може необгрунтовано завищуватись.
3.8. АРМ бухгалтера електронних платежів може бути розташоване в будь-якому приміщенні банківської установи з обмеженим доступом, за винятком кімнати АРМ-НБУ та приміщення адміністратора захисту інформації.
3.9. У разі недостатньої кількості ПЕОМ у банківській установі допускається організація єдиного програмно-технічного комплексу для роботи всіх або частини операторів САБ у порядку черговості з суворим розподілом доступу до програмного забезпечення робочих місць.
3.10. Вимоги до сейфів.
3.10.1. Сейфи повинні бути обладнані замками і місцем для опечатування.
Якщо сейф обладнаний кодовим замком, то рекомендується також здійснювати опечатування замка, оскільки це дає змогу виявляти спроби його несанкціонованого відкриття.
3.10.2. Полегшений сейф, який спроможна винести одна людина, може бути використаний для зберігання засобів криптозахисту лише за умови його надійного кріплення до підлоги, стіни тощо.
3.10.3. Якщо використовується багатосекційний сейф, то кожна секція повинна мати свої дверцята з індивідуальним замком і місцем для опечатування.
Якщо односекційний сейф має вбудовану внутрішню секцію, обладнану замком, то він не вважається двосекційним і, отже, при зберіганні засобів криптозахисту може бути використаний лише однією відповідальною особою.
3.10.4. Допускається замість сейфів використовувати міцні металеві ящики за умови виконання інших вимог цього розділу.
3.10.5. Перелік ключів від сейфів, в яких зберігаються засоби криптозахисту, повинен бути зафіксований в розділі 5 журналу обліку адміністратора захисту інформації (додаток 24).
3.10.6. У разі втрати ключів від сейфів, у яких зберігаються засоби криптозахисту, необхідно здійснити заміну відповідного замка або сейфа, провести службове розслідування.
Матеріали розслідування зберігаються у справах адміністратора захисту інформації банківської установи.
3.11. Відповідальність за виконання вимог режимних умов до приміщень покладається на керівництво банківських установ.
4. Принципи побудови криптографічного захисту інформації
4.1. Основною метою криптографічного захисту інформації в інформаційно-обчислювальній мережі НБУ є забезпечення конфіденційності та цілісності електронної банківської інформації, а також суворої автентифікації учасників СЕП і фахівців банківських установ, які беруть участь у підготовці та обробці електронних банківських документів.
4.2. Для забезпечення захисту інформації від модифікації з одночасною суворою автентифікацією та забезпечення нерозривності захисту платіжної інформації з часу її формування система захисту СЕП та інших інформаційних задач включає механізми формування/перевірки електронного цифрового підпису (далі - ЕЦП) на базі несиметричного алгоритму RSA. Для забезпечення роботи цього алгоритму кожна банківська установа отримує від служб захисту інформації регіональних управлінь НБУ персональний генератор ключів з вбудованим ідентифікатором цієї банківської установи.
4.3. Для забезпечення конфіденційності інформації, що циркулює в інформаційно-обчислювальній мережі НБУ, усі файли, що містять конфіденційну інформацію, мають бути оброблені в АРМ-НБУ.
Цей програмно-апаратний комплекс є єдиним шлюзом до всіх задач пакетного оброблення інформації НБУ і в першу чергу - СЕП. Виконання системних вимог та інструкцій щодо розміщення програмного комплексу АРМ-НБУ є обов'язковим.
АРМ-НБУ включає до свого складу вбудовані засоби захисту, що забезпечують конфіденційність інформації під час її пересилки каналами зв'язку. Вбудовані засоби захисту забезпечують два режими шифрування АРМ-НБУ: апаратне та програмне.
4.4. Використання стандартизованих криптографічних алгоритмів у системі захисту інформації гарантує задану криптостійкість, при цьому криптографічні алгоритми не становлять таємниці. Основою криптографічного захисту є ключова система та самі ключі, тому інформація про це має закритий характер і розголошенню не підлягає.
Побудова ключової системи виконується службою захисту інформації НБУ згідно з діючою системою захисту. Ключова система вміщує ключі асиметричного шифрування, що генеруються в банківських установах за допомогою наданих генераторів ключів, та ключі симетричного шифрування, що використовуються для апаратного шифрування.
4.5. Забороняється використання засобів захисту НБУ у внутрішніх платіжних системах банків, системах "клієнт-банк" та інших програмних комплексах, які знаходяться за межами системи автоматизації банку.
4.6. Використання засобів криптографічного захисту НБУ включає обов'язкове виконання організаційних вимог щодо отримання, використання та зберігання засобів захисту.
У разі невиконання вимог щодо використання та зберігання засобів захисту і режимних вимог до приміщень (відсутність сигналізації тощо) засоби криптозахисту вилучаються з банківської установи службою захисту інформації регіонального управління НБУ.
4.7. Криптографічний захист електронних банківських документів в установах, що є учасниками інформаційно-обчислювальної мережі НБУ, виконується за допомогою таких засобів криптозахисту:
а) засоби апаратного шифрування:
криптоблок (АЗЕГО);
електронна картка (ЕК);
програмне забезпечення керування апаратурою захисту, яке вбудоване в АРМ-НБУ та не може бути вилучене;
б) засоби програмного шифрування:
програма шифрування, вбудована в АРМ-НБУ;
в) засоби електронного цифрового підпису:
програмний модуль генерації ключів з відповідними незаповненими таблицями відкритих ключів;
бібліотеки накладання/перевірки ЕЦП, що надаються усім учасникам інформаційно-обчислювальної мережі управлінням захисту інформації НБУ безкоштовно для вбудови в програмне забезпечення системи автоматизації банку.
4.8. Основними засобами шифрування в СЕП є апаратні засоби захисту. Для усіх платіжних документів СЕП у штатному режимі роботи АРМ-НБУ виконує апаратне шифрування.
У разі виходу з ладу засобів апаратного шифрування необхідно перейти до резервного програмного шифрування платіжних документів.
4.9. Криптоблок, електронна картка і програмний модуль генерації ключів видаються в банківську установу встановленим порядком службою захисту інформації регіонального управління НБУ.
4.10. Для установ, які не беруть безпосередньої участі в системі електронних платежів, але є учасниками інформаційних задач НБУ, шифрування усіх інформаційних файлів виконується тільки за допомогою програмних засобів шифрування, вбудованих в АРМ-НБУ, відповідно до файла настройки arm3.tsk. До таких установ не застосовуються вимоги розділів 5 та 6 цього документа.
4.11. Зняття копії з програмного модуля генерації ключів, а також знищення копії програмного модуля генерації здійснює адміністратор захисту інформації в банківській установі способом, що унеможливлює їх відновлення (наприклад, за допомогою подвійного переформатування дискети).
4.12. Під час генерації ключів одночасно створюється ключова пара, яка складається з таємного і відкритого ключів.
4.13. Генерація ключів повинна виконуватись відповідальною особою, яка безпосередньо працюватиме з цим ключем, у присутності адміністратора захисту інформації установи.
У разі потреби копії таємних ключів (АРМ-НБУ та АРМ бухгалтера САБ) повинні виконуватись безпосередньо відповідальною особою із записом у журналі генерації ключів про зняття копії. Знищення таємних ключів та їх копій виконується також відповідальними особами в присутності адміністратора захисту інформації методом, який гарантує неможливість їх відновлення, із записом у журналі генерації ключів.
4.14. Таємні ключі можуть бути записані на ГМД або Touch Memory. Відкриті ключі після сертифікації в управлінні захисту інформації НБУ (ключі операціоністів сертифікації не потребують) уносяться в таблицю відкритих ключів, яка зберігається на жорсткому диску ПЕОМ відповідно до технології обробки інформації.
4.15. Засоби апаратного шифрування, програмного шифрування, електронного цифрового підпису є предметами обмеженого доступу, суворого обліку, контролю і звітності. Порядок зберігання та використання перебувають під контролем служби захисту інформації регіонального управління НБУ.
4.16. У банківській установі в разі відсутності особливих вказівок управління захисту інформації НБУ та/або служби захисту інформації регіонального управління НБУ для захисту електронних платежів використовуються:
Назва Кількість
Криптоблок
Електронна картка
Програмний модуль генерації ключів
Копія програмного модуля генерації ключів
Таємний ключ АРМ-НБУ
Копія таємного ключа АРМ-НБУ
(за наявності наказу по установі)
Таємний ключ АРМ бухгалтера


Копія таємного ключа АРМ бухгалтера
(за наявності наказу по установі)

Таємні ключі операціоністів

Таємні ключі інших робочих місць для
інформаційних задач
1
1
1
1
1
1

За кількістю відпові-
дальних осіб, але не
більше 5
За кількістю відпові-
дальних осіб, але не
більше 5
За кількістю відпові-
дальних осіб
За вказівками Управ-
ління захисту інформа-
ції НБУ
4.17. Усі питання, пов'язані з організацією безпеки електронних платежів у СЕП НБУ та інформаційних системах НБУ, вирішуються через службу захисту інформації того регіонального управління НБУ, з яким укладений договір про використання криптографічних засобів захисту інформації в інформаційно-обчислювальній мережі НБУ.
Отримання консультацій щодо супроводження АРМ-НБУ і технологічного процесу проходження електронних платежів здійснюється в РРП того регіонального управління НБУ, в якому відкритий технічний рахунок банківської установи.
5. Порядок отримання, зберігання та заміни криптоблока
5.1. Для отримання криптоблока відповідальна особа банківської установи повинна прибути до регіонального управління НБУ, маючи при собі документи, які засвідчують особу, і довіреність банківської установи на отримання криптоблока.
5.2. У цій довіреності вказується прізвище особи, яка має отримати засоби криптозахисту. Після отримання засобів криптозахисту довіреність залишається в службі захисту інформації регіонального управління НБУ.
5.3. Довіреність складається за довільною формою, підписується керівником банківської установи і скріплюється печаткою. У цій довіреності повинні бути наведені перелік та кількість засобів захисту, які необхідно отримати, дані паспорта (серія, номер, орган, що видав паспорт, дата видачі) відповідальної особи і зразок його підпису.
5.4. Засоби криптозахисту надаються банківським установам тільки для використання в інформаційно-обчислювальній мережі НБУ і не підлягають бухгалтерському обліку та звітності фінансовими, матеріально-технічними та іншими службами банківської установи.
5.5. Криптоблок у банківську установу передається за Актом про приймання-передавання криптоблока (додаток 7), один примірник якого залишається в службі захисту інформації регіонального управління НБУ, а другий - зберігається у банківській установі.
5.6. Після отримання криптоблока потрібно:
зробити відповідний запис у розділі 2 журналу обліку адміністратора захисту інформації (додаток 21);
адміністратору АРМ-НБУ, який перебуває на зміні, отримати криптоблок за журналом обліку адміністратора захисту інформації (додаток 21);
зробити відповідний запис у розділі 1 журналу обліку адміністратора АРМ-НБУ (додаток 29).
Криптоблок повинен бути встановлений і постійно знаходитися на робочому місці в приміщенні АРМ-НБУ.
5.7. Перед уведенням криптоблока в роботу слід упевнитися, що виконуються усі вимоги з технічних умов експлуатації криптоблока, які наведені в документації до нього.
5.8. Для введення криптоблока в експлуатацію необхідно додатково отримати в службі захисту інформації регіонального управління НБУ запрограмовану для роботи з цим криптоблоком електронну картку (п.6 Правил) і згенерований для цієї електронної картки комплект таблиць KMEP.BIN, TABLE.BIN.
5.9. Передача криптоблока між адміністраторами АРМ-НБУ відбувається за журналом обліку засобів захисту АРМ-НБУ (додаток 29), який ведеться адміністраторами АРМ-НБУ і зберігається в приміщенні АРМ-НБУ.
5.10. Заміна криптоблока здійснюється у разі його виходу з ладу або за вказівкою служби захисту інформації регіонального управління НБУ.
5.11. У разі заміни криптоблока обов'язково слід здійснити й заміну електронної картки та таблиць KMEP.BIN, TABLE.BIN.
Тестування і подальша робота отриманого криптоблока повинні виконуватись тільки з новою електронною карткою і таблицями KMEP.BIN, TABLE.BIN.
5.12. У разі виходу криптоблока з ладу в процесі експлуатації необхідно:
якщо є потреба тимчасово перейти на програмні засоби захисту, то відповідальний працівник банківської установи повинен засобами електронної пошти повідомити АРМ-2 (поштова скринька v32rpal) про перехід на резервне програмне шифрування;
за командою від РРП перевести АРМ-НБУ на роботу з резервним програмним шифруванням; для цього в конфігураційному файлі arm3.cfg у рядку "метод шифрування" розмістити літеру P - "програмне шифрування";
продовжувати роботу з АРМ-НБУ спочатку у взаємодії з РРП (за телефоном), а далі - у звичайному режимі за допомогою програмного шифрування;
проінформувати про цей випадок електронною поштою службу захисту інформації регіонального управління НБУ;
привезти нарочним до служби захисту інформації регіонального управління НБУ:
а) криптоблок у комплекті. Криптоблок повертається до служби захисту інформації регіонального управління НБУ разом з Актом повернення криптоблока (додаток 8), один примірник якого залишається в службі захисту інформації регіонального управління НБУ, другий - зберігається в банківській установі;
б) електронну картку із записом її номера в акті;
в) довіреність на отримання нового криптоблока;
зробити відмітку про повернення криптоблока, що вийшов з експлуатації, в регіональне управління НБУ (додаток 21);
отримати новий криптоблок;
після отримання нової електронної картки і нового комплекту таблиць KMEP.BIN та TABLE.BIN виконати перевірку працездатності апаратури захисту;
у разі успішного завершення перевірки працездатності апаратури повідомити засобами електронної пошти регіональну службу захисту (поштова скринька ZAHIST) та АРМ-2, де ведеться технічний кореспондентський рахунок установи (поштова скринька v32rpal), про готовність до переходу на апаратні засоби захисту. Перехід на апаратні засоби захисту може бути здійснений лише на початку банківського дня за домовленістю з АРМ-2;
у разі виникнення збоїв у роботі апаратури захисту під час відкриття банківського дня (на стадії переходу на роботу з АЗЕГО) необхідно одержати консультацію в РРП по телефону і узгодити подальші дії;
провести службове розслідування у разі навмисного або необережного пошкодження криптоблока, копію матеріалів цього розслідування подати до служби захисту інформації регіонального управління НБУ;
відшкодувати збитки за пошкодження відповідно до договірних зобов'язань.
5.13. У разі втрати криптоблока потрібно:
виконати заходи, що передбачені п.5.12 Правил;
провести службове розслідування за фактом втрати, копію матеріалів якого подати до служби захисту інформації регіонального управління НБУ;
відшкодувати збитки за втрату криптоблока відповідно до договірних зобов'язань.
5.14. Якщо виявиться факт пошкодження пломб та печаток на криптоблоці, то слід:
негайно виключити цей блок з експлуатації;
виконати заходи, що передбачені п.5.12 Правил;
провести службове розслідування за фактом пошкодження пломб та печаток, копію матеріалів якого надати до служби захисту інформації регіонального управління НБУ;
відшкодувати збитки за пошкодження пломб та печаток відповідно до договірних зобов'язань.
6. Порядок отримання, зберігання та заміни електронної картки
6.1. Електронна картка для банківських установ, що розташовані за межами обласного центру, надсилається спецзв'язком у подвійному конверті або передається через відповідальну особу банківської установи. Для банківських установ, що розташовані в обласному центрі, картка передається через відповідальну особу банківської установи. Для її отримання відповідальна особа банківської установи повинна прибути до служби захисту регіонального управління НБУ, маючи при собі документи, що засвідчують особу, та довіреність на отримання електронної картки (пп.5.2, 5.3, 5.4 Правил).
Електронна картка дається разом з супровідним листом, в якому вказуються її номер і час уведення в роботу.
6.2. При отриманні електронної картки необхідно:
зробити відповідний запис у розділі 2 журналу обліку адміністратора захисту інформації установи (додаток 21);
адміністратору АРМ-НБУ, який перебуває на зміні, отримати електронну картку за журналом обліку адміністратора захисту інформації (додаток 21);
зробити відповідний запис у розділі 1 журналу обліку адміністратора АРМ-НБУ (додаток 29);
здійснити тестування електронної картки після отримання таблиць KMEP.BIN, TABLE.BIN, згенерованих для цієї електронної картки;
надіслати електронною поштою до служби захисту інформації регіонального управління НБУ підтвердження (додаток 9) про отримання електронної картки і результати тестування, якщо електронна картка була отримана спецзв'язком;
повідомити електронною поштою службу захисту інформації регіонального управління НБУ про результати тестування електронної картки, якщо вона була доставлена нарочним (додаток 10);
ввести електронну картку в роботу в строки, обумовлені в супровідному листі, вчасно виконати заміну комплекту таблиць KMEP.BIN, TABLE.BIN на новий (на якому здійснювалося її тестування).
6.3. У разі негативних результатів тестування негайно:
поінформувати електронною поштою службу захисту інформації регіонального управління НБУ (додаток 10) і діяти відповідно до наданих рекомендацій;
повернути до служби захисту інформації регіонального управління НБУ електронну картку разом з супровідним листом банківської установи (додаток 11).
У цьому разі в банківську установу буде надіслана нова електронна картка.
Електронна картка, що не пройшла тестування, повинна бути записана до розділу 2 журналу обліку адміністратора захисту інформації з відповідним записом про її повернення до регіонального управління НБУ (додаток 21).
6.4. Зберігається електронна картка в неробочий час або в робочий час, якщо вона не використовується в роботі, у сейфі адміністратора АРМ-НБУ.
6.5. Передача електронної картки між адміністраторами АРМ-НБУ здійснюється за розділом 1 журналу обліку адміністратора АРМ-НБУ (додаток 29), який ведеться адміністраторами АРМ-НБУ і зберігається в приміщенні АРМ-НБУ.
6.6. Після завершення робочого циклу використання (дата призначається управлінням захисту інформації НБУ) електронна картка у дводенний строк разом із супровідним листом банківської установи (додаток 11) повертається до служби захисту інформації регіонального управління НБУ.
У розділі 2 журналу обліку адміністратора захисту інформації робиться відповідний запис про повернення електронної картки, що вийшла з експлуатації, до регіонального управління НБУ (додаток 21).
6.7. У разі заміни електронної картки заміна таблиць KMEP.BIN, TABLE.BIN є обов'язковою.
6.8. У разі виходу з ладу електронної картки до завершення робочого циклу використання необхідно:
виконати дії, що описані в п.5.12 Правил, для забезпечення переходу на резервне програмне шифрування;
поінформувати електронною поштою службу захисту інформації регіонального управління НБУ про вихід з ладу електронної картки;
повернути встановленим порядком (нарочним або спецзв'язком) до служби захисту інформації регіонального управління НБУ зіпсовану електронну картку разом із супровідним листом (додаток 11), один примірник якого залишається в службі захисту інформації регіонального управління НБУ, другий - зберігається в банківській установі. У розділі 2 журналу обліку адміністратора захисту інформації робиться відповідний запис про повернення пошкодженої електронної картки в регіональне управління НБУ (додаток 21);
після отримання нової електронної картки і нового комплекту таблиць KMEP.BIN, TABLE.BIN виконати заходи, які описані в п.5.12 Правил, для переходу до використання апаратних засобів шифрування;
у разі навмисного або ненавмисного пошкодження електронної картки потрібно провести службове розслідування, копії матеріалів якого подати до служби захисту інформації регіонального управління НБУ. При цьому слід відшкодувати збитки від пошкодження електронної картки відповідно до договірних зобов'язань.
6.9. У разі втрати електронної картки необхідно:
виконати заходи, що передбачені п.6.8 Правил;
провести службове розслідування за фактом втрати, копії матеріалів якого подати до служби захисту інформації регіонального управління НБУ;
відшкодувати збитки від втрати електронної картки відповідно до договірних зобов'язань.
7. Порядок роботи з генератором ключів
7.1. Порядок надання програмного модуля генерації ключів до банківської установи аналогічний порядку передачі криптоблока (пп.5.1-5.4 Правил).
Для отримання програмного модуля генерації ключів відповідальна особа банківської установи повинна прибути до регіонального управління НБУ, маючи при собі документи, що засвідчують особу, та довіреність банківської установи на отримання програмного модуля генерації ключів.
7.2. У цій довіреності вказується прізвище особи, яка має отримати засоби криптозахисту. Після отримання засобів криптозахисту ця довіреність залишається в службі захисту інформації регіонального управління НБУ.
7.3. Довіреність складається за довільною формою, підписується керівником банківської установи і скріпляються печаткою. У цій довіреності повинні бути наведені перелік засобів захисту, які необхідно отримати, а також дані паспорта (серія, номер, назва органу, що видав паспорт, дата видачі) відповідальної особи і зразок його підпису.
7.4. Засоби криптозахисту даються банківським установам тільки для використання в інформаційно-обчислювальній мережі НБУ і не підлягають бухгалтерському обліку і звітності фінансовими, матеріально-технічними та іншими службами банківської установи.
7.5. Програмний модуль генерації ключів у банківську установу передається за Актом про приймання-передавання програмного модуля генерації ключів (додаток 12), один примірник якого залишається у службі захисту інформації регіонального управління НБУ, другий - зберігається в банківській установі. В акті повинні бути зазначені версія програмного модуля генерації ключів, дата створення та час уведення в роботу.
7.6. При отриманні програмного модуля генерації ключів необхідно:
зняти копію ПМГК за допомогою засобів, які є на дискеті з програмним модулем генерації ключів;
зареєструвати ПМГК і його копію в розділах 2, 7 журналу обліку адміністратора захисту інформації (додатки 21, 26);
здійснити перевірку працездатності ПМГК та його копії шляхом пробної генерації ключів;
забезпечити генерацію ключів АРМ-НБУ, АРМ бухгалтера, операціоністів, інших робочих місць для інформаційних задач НБУ.
7.7. У разі негативних результатів тестування необхідно негайно:
поінформувати електронною поштою службу захисту інформації регіонального управління НБУ і діяти відповідно до її рекомендацій;
повернути до служби захисту інформації регіонального управління НБУ ПМГК разом з Актом про повернення програмного модуля генерації ключів (додаток 13), один примірник якого залишається у службі захисту інформації регіонального управління НБУ, другий - зберігається в банківській установі. В акті повинні бути зазначені версія програмного модуля генерації ключів, дата створення та час ведення в роботу, причина повернення ПМГК.
У цьому разі в банківську установу буде наданий резервний ПМГК.
Програмний модуль генерації ключів, що не пройшов перевірки працездатності, повинен бути зареєстрований в журналі обліку адміністратора захисту інформації з відповідним записом про повернення його до служби захисту інформації регіонального управління НБУ (додаток 21). Копія ПМГК при цьому знищується.
7.8. У банківській установі ПМГК і його копія повинні передаватись між адміністраторами захисту інформації за розділом 7 журналу обліку адміністратора захисту інформації (додаток 26).
7.9. Зберігається ПМГК (його копії) у неробочий час або в робочий час, якщо він не використовується в роботі, у сейфі адміністратора захисту інформації. При цьому сейф повинен бути закритий і опечатаний печаткою адміністратора захисту інформації, який працює у цю зміну.
7.10. Після завершення робочого циклу використання (дата призначається управлінням захисту інформації НБУ) ПМГК повертається до служби захисту регіонального управління НБУ разом з Актом про повернення програмного модуля генерації ключів (додаток 13), один примірник якого залишається в службі захисту інформації регіонального управління НБУ, другий - зберігається в банківській установі. В акті повинні бути зазначені версія програмного модуля генерації ключів, дата створення та час уведення в роботу, причина повернення ПМГК.
Робоча копія (якщо не буде інших вказівок) знищується на місці шляхом, який унеможливлює його відновлення (наприклад, шляхом подвійного переформатування дискети). У банківській установі за фактом знищення ПМГК складається Акт про знищення засобів криптозахисту (додаток 15), один примірник якого передається до служби захисту інформації регіонального управління НБУ.
У розділі 2 журналу обліку адміністратора захисту інформації робиться відповідний запис про повернення програмного модуля генерації ключів до служби захисту інформації регіонального управління НБУ та знищення його копії в банківській установі з наданням номерів відповідних актів (додаток 21).
7.11. У разі псування ГМД з копією програмного модуля генерації ключів до завершення робочого циклу використання необхідно:
зняти повторно копію ПМГК;
внести належні зміни до розділу 2 журналу обліку адміністратора захисту інформації (додаток 21).
7.12. У разі втрати програмного модуля генерації ключів (та/або його копії) або втрати контролю за місцезнаходженням генератора ключів (та/або його копії) необхідно:
поінформувати про це електронною поштою службу захисту інформації регіонального управління НБУ та замовити новий програмний модуль генерації ключів (додаток 14);
стримуватися від генерації ключів до отримання нового програмного модуля генерації ключів;
провести службове розслідування, копію матеріалів якого подати до служби захисту інформації регіонального управління НБУ;
отримати відповідно до встановленого порядку новий програмний модуль і надалі виконувати заходи, передбачені пп.7.1.-7.9 Правил (при цьому поточні таємні ключі можуть бути в роботі до закінчення строку їх дії);
відшкодувати збитки від втрати генератора ключів відповідно до договірних зобов'язань.
7.13. Якщо адміністратор захисту інформації, який безпосередньо працював з програмним модулем генерації ключів, звільняється з банківської установи або переходить в цій же банківській установі на іншу ділянку роботи, то потрібно негайно, не припиняючи при цьому роботи банківської установи в СЕП НБУ, здійснити встановленим порядком (п.7.12 Правил) заміну програмного модуля генерації ключів.
При цьому треба виконати нову генерацію таємних ключів для усіх робочих місць банківської установи.
Службове розслідування в цьому випадку не проводиться.
7.14. Усі ключі повинні генеруватись на робочому місці, що відповідає вимогам п.3.5.2 Правил, безпосередньо відповідальною особою, яка працюватиме з цим ключем, у присутності адміністратора захисту інформації. Усі спроби генерації ключів, у тому числі й невдалі, повинні реєструватись в розділі 3 журналу обліку адміністратора захисту інформації (додаток 22).
7.15. Усі ключі, що генеруються в банківській установі, повинні бути згенеровані з паролем відповідно до правил користування генератором ключів.
7.16. Індивідуальний пароль для таємного ключа встановлює особа, яка виконує генерацію ключа.
7.17. Створення копій таємних ключів АРМ-НБУ (і АРМ бухгалтера САБ) потрібно для запобігання невиправданим зупинкам роботи банківської установи в СЕП НБУ у разі псування дискети з ключами. Копіювання таємних ключів повинно виконуватись тільки за наявності наказу по установі про створення копій таємних ключів з обов'язковим визначенням відповідальних за їх зберігання.
7.18. Процес використання копій таємних ключів повинен фіксуватись у журналах обліку з обов'язковим зазначенням причин використання копії.
7.19. На створені копії засобів криптозахисту поширюються усі вимоги інформаційної безпеки, як і на основні засоби криптозахисту.
7.20. Неприпустимим є використання копій засобів криптозахисту в разі компрометації основних засобів, а саме:
втрати генератора ключів;
втрати таємних ключів АРМ-НБУ, АРМ бухгалтера;
виявлення факту знаходження таємних ключів АРМ-НБУ, АРМ бухгалтера, генератора ключів у сторонніх осіб;
втрати контролю над місцезнаходженням таємних ключів АРМ-НБУ, АРМ бухгалтера, генератора ключів або їх копій, у результаті чого можливе їх несанкціоноване копіювання.
8. Порядок зберігання та роботи з таємними ключами
8.1. У разі використання апаратних носіїв ключової інформації (Touch Memory) просте копіювання ключів з одного носія на інший унеможливлює їх використання сторонніми особами. Зберігання таких носіїв у сейфі в неробочий час необов'язкове.
Допускається додаткове використання цих носіїв для рішення інших завдань банківської установи (наприклад, для обмеження доступу до комп'ютерів, приміщень тощо).
8.2. У разі використання дискет як носіїв ключів треба суворо дотримуватися правил використання та зберігання таємних ключів для унеможливлення їх несанкціонованого копіювання.
8.3. У разі використання САБ, що працює в операційному середовище UNIX, не рекомендується використовувати дискети як носії таємних ключів. У такому разі під час генерації таємний ключ записується на дискету з паролем. Після цього файл з таємним ключем розміщується у захищеній директорії, яка доступна для читання тільки з робочого місця саме цієї відповідальної особи, при цьому це копіювання може бути виконане відповідальною особою, адміністратором захисту інформації або адміністратором САБ з відповідним записом у журналі обліку адміністратора захисту інформації і обов'язковим підписом особи, яка копіювала ключ у захищену директорію.
8.4. Порядок роботи з таємним ключем АРМ-НБУ.
8.4.1. Генерацію ключів АРМ-НБУ здійснює будь-який з адміністраторів АРМ-НБУ в присутності адміністратора захисту інформації. При генерації обов'язковим є встановлення пароля для таємного ключа АРМ-НБУ.
8.4.2. Безпосередньо після генерації ключів необхідно:
зняти копію таємного ключа АРМ-НБУ (якщо це обумовлено наказом по банківській установі). Копія таємного ключа АРМ-НБУ розміщується в конверті, який опечатується печаткою адміністратора захисту інформації та печаткою адміністратора АРМ-НБУ. У разі відсутності печатки адміністратор АРМ-НБУ власноручно підписує цей конверт. Умови зберігання визначаються адміністратором захисту інформації та затверджуються наказом. Цілісність упаковки кожного робочого дня перевіряється адміністратором захисту інформації протягом всього часу зберігання копії цього таємного ключа;
зареєструвати таємний ключ АРМ-НБУ і його копію в розділі 3 журналу обліку адміністратора захисту інформації (додаток 22);
адміністратору АРМ-НБУ, що працює на зміні, отримати таємний ключ АРМ-НБУ (та в разі потреби - його копію) за журналом обліку адміністратора захисту інформації - розділ 3 (додаток 22);
зареєструвати таємний ключ АРМ-НБУ (та в разі потреби - його копію) у розділі 1 журналу обліку адміністратора АРМ-НБУ (додаток 29);
адміністратору захисту інформації відправити відкритий ключ АРМ-НБУ на сертифікацію до управління захисту інформації НБУ;
увести таємний ключ АРМ-НБУ в роботу в установленому порядку.
8.4.3. Зберігання таємного ключа АРМ-НБУ (та в разі потреби - його копії) в неробочий час, у тому числі під час перерви на обід, здійснюється в сейфі адміністратора АРМ-НБУ. При цьому сейф має бути закритий і опечатаний печаткою адміністратора АРМ-НБУ, який працює на зміні.
8.4.4. Передача таємного ключа АРМ-НБУ (та в разі потреби - його копії) між адміністраторами АРМ-НБУ здійснюється за розділом 1 журналу обліку адміністратора АРМ-НБУ (додаток 29).
8.4.5. Строк дії ключа АРМ-НБУ встановлюється управлінням захисту інформації НБУ під час сертифікації відкритого ключа.
Після закінчення цього строку обробка електронної інформації за допомогою АРМ-НБУ стає неможливою.
Необхідно здійснювати контроль за строком використання ключа АРМ-НБУ, уважно стежити за повідомленнями АРМ-НБУ, своєчасно виконувати генерацію і сертифікацію чергових ключів АРМ-НБУ, щоб уникнути невиправданої зупинки роботи банківської установи в СЕП НБУ.
8.4.6. Після виведення з дії таємний ключ АРМ-НБУ і його копія знищуються в банківській установі з відповідним записом у розділі 3 журналу обліку адміністратора захисту інформації (додаток 22).
При цьому таємний ключ АРМ-НБУ в архів не заноситься.
8.4.7. У разі псування ГМД з таємним ключем АРМ-НБУ до завершення робочого циклу використання потрібно:
зняти повторно копію таємного ключа АРМ-НБУ;
внести необхідні зміни в розділ 3 журналу обліку адміністратора захисту інформації (додаток 22).
8.4.8. У разі компрометації таємного ключа АРМ-НБУ необхідно:
негайно припинити використання скомпрометованого таємного ключа АРМ-НБУ в СЕП НБУ;
негайно поінформувати про це електронною поштою службу захисту інформації регіонального управління НБУ;
згенерувати новий ключ АРМ-НБУ і надалі здійснювати заходи, передбачені пп.8.4.2, 8.4.6 Правил;
провести службове розслідування, копії матеріалів якого подати до служби захисту інформації регіонального управління НБУ.
8.4.9. Якщо адміністратор АРМ-НБУ, який безпосередньо працював з таємним ключем АРМ-НБУ, звільняється з банківської установи або переходить у цій же банківській установі на іншу ділянку роботи, то потрібно негайно, не припиняючи при цьому роботи банківської установи в СЕП НБУ, здійснити генерацію нового ключа АРМ-НБУ і надалі здійснювати заходи, передбачені пп.8.4.2, 8.4.6 Правил.
8.5. Порядок роботи з таємними ключами АРМ бухгалтера, операціоністів та інших робочих місць САБ
8.5.1. Генерацію ключів здійснює кожна відповідальна особа для себе в присутності адміністратора захисту інформації. При генерації обов'язковим є встановлення пароля для таємного ключа.
8.5.2. Безпосередньо після генерації ключів необхідно:
зняти копію таємних ключів (якщо це обумовлено наказом по банківській установі і тільки для АРМ бухгалтера). Копія таємного ключа АРМ бухгалтера розміщується в конверті, який опечатується печаткою адміністратора захисту інформації та печаткою відповідальної особи. У разі відсутності печатки відповідальна особа власноручно підписує цей конверт. Умови зберігання визначаються адміністратором захисту інформації та затверджуються наказом. Цілісність упаковки перевіряється кожного робочого дня адміністратором захисту інформації протягом всього часу зберігання копії цього таємного ключа;
зареєструвати таємні ключі (і їх копії) у розділі 3 журналу обліку адміністратора захисту інформації (додаток 22);
відповідальній особі отримати свій таємний ключ (і його копію) за розділом 3 журналу обліку адміністратора захисту інформації (додаток 22);
адміністратору захисту інформації відправити відкриті ключі (крім ключів операціоністів) на сертифікацію в управління захисту інформації НБУ;
занести відкриті ключі операціоністів в архів відкритих ключів;
ввести таємний ключ у роботу в установленому порядку.
8.5.3. Зберігання таємних ключів (та в разі потреби - їх копій) відповідальних осіб у неробочий час або в робочий час, якщо таємний ключ (та в разі потреби - його копія) не використовується в роботі, здійснюється в особистому сейфі відповідальної особи. При цьому сейф має бути закритий і опечатаний печаткою цієї особи.
8.5.4. У разі відсутності достатньої кількості особистих сейфів дозволяється зберігання всіх або частини таємних ключів у неробочий час у сейфі адміністратора захисту інформації.
Кожний таємний ключ зберігається у власній упаковці, опечатаній печаткою відповідної особи - власника цього ключа.
Копія таємного ключа має бути додатково опечатана і печаткою адміністратора захисту інформації (п.8.5.2 Правил).
Видача таємних ключів для роботи і зворотне приймання на зберігання здійснюється з реєстрацією в розділі 8 журналу обліку адміністратора захисту інформації (додаток 27).
При заступанні на зміну чергового адміністратора захисту робиться відповідний запис у журналі обліку адміністратора захисту інформації (додаток 27).
За наявності в сейфі таємних ключів він має бути закритий і опечатаний печаткою адміністратора захисту інформації, що працює на зміні.
8.5.5. Усі ключі мають обмежений строк дії, що встановлюється під час сертифікації відкритих ключів управлінням захисту інформації НБУ. Для ключів операціоністів, які не підлягають сертифікації, строк дії ключа становить 100 днів.
8.5.6. Після виведення з дії таємні ключі (та їх копії) знищуються в банківській установі з відповідним записом в розділі 3 журналу обліку адміністратора захисту (додаток 22).
При цьому таємні ключі до архіву електронних платежів не заносяться.
8.5.7. У разі псування ГМД з таємним ключем до завершення робочого циклу використання необхідно:
зняти повторно копію таємного ключа АРМ бухгалтера (в разі наявності копії) або здійснити генерацію ключів знову;
внести відповідні записи до розділу 3 журналу обліку адміністратора захисту інформації (додаток 22).
8.5.8. У разі компрометації таємного ключа потрібно:
припинити використання скомпрометованого таємного ключа;
поінформувати про це електронною поштою службу захисту інформації регіонального управління НБУ;
забезпечити за встановленим порядком (з допомогою ПМГК) вилучення скомпрометованих відкритих ключів операціоністів із таблиць відкритих ключів;
згенерувати нові ключі і надалі здійснювати заходи, передбачені пп.8.5.2, 8.5.6 Правил;
провести службове розслідування, копії матеріалів якого подати до служби захисту інформації регіонального управління НБУ.
8.5.9. Якщо відповідальна особа, яка має таємний ключ будь-якого робочого місця, звільняється з банківської установи або переходить у цій же банківській установі на іншу ділянку роботи, то необхідно негайно здійснити заходи, передбачені п.8.5.2 Правил, і забезпечити за встановленим порядком вилучення з роботи відповідних відкритих ключів.
8.6. Банківська установа може затвердити внутрішній порядок зберігання таємних ключів, виходячи з конкретних умов, що склалися в банківській установі, із суворим дотриманням вимог цього документа.
9. Відповідальні за роботу із засобами криптозахисту
9.1. Для роботи із засобами криптозахисту призначаються такі відповідальні особи:
адміністратор захисту інформації;
адміністратор АРМ-НБУ;
оператор АРМ бухгалтера;
операціоніст;
особи, відповідальні за роботу із засобами криптозахисту на робочих місцях інформаційних задач НБУ.
9.2. Призначення відповідальних за роботу із засобами криптозахисту і звільнення їх від цих обов'язків належить до компетенції керівництва банківської установи.
9.3. З урахуванням виконання вимог нормативних документів НБУ особи, відповідальні за роботу із засобами криптозахисту, можуть призначатися відповідно до штатного розпису або за сумісництвом.
9.4. Особи, відповідальні за роботу із засобами криптозахисту, зобов'язані виконувати вимоги нормативних документів НБУ, вказівки і розпорядження управління захисту інформації НБУ, служби захисту інформації регіонального управління НБУ, керівника банківської установи і підзвітні:
керівнику банківської установи (особі, яка виконує його обов'язки);
заступнику керівника банківської установи, який за своїми службовими обов'язками, обумовленими в посадовій інструкції або за окремим наказом по банківській установі, призначений відповідальним за організацію захисту електронної банківської інформації.
9.5. Відповідальні особи за роботу із засобами криптозахисту призначаються наказом по банківській установі (додаток 2).
9.6. Копія наказу "Про призначення відповідальних осіб за роботу із засобами криптозахисту..." (додаток 2) подається до служби захисту інформації регіонального управління НБУ.
Надалі копії наказів "Про призначення відповідальних осіб за роботу із засобами криптозахисту..." (або інші додаткові накази) подаються до служби захисту інформації регіонального управління НБУ тільки в разі нових призначень адміністраторів захисту інформації, адміністраторів АРМ-НБУ і операторів АРМ бухгалтера.
9.7. Допуск осіб, відповідальних за роботу із засобами криптозахисту на робочих місцях САБ, до самостійної роботи дозволяється після вивчення ними нормативних документів НБУ, інших документів з питань інформаційної безпеки. Ознайомлення з правилами роботи та зберігання таємних ключів здійснюється адміністратором захисту інформації банківської установи. Відповідальна особа має підписати "Зобов'язання" (додаток 3).
9.8. Допуск адміністраторів АРМ-НБУ до работи дозволяється після вивчення ними нормативних документів НБУ, інших документів з питань інформаційної безпеки та правил роботи з програмним забезпеченням АРМ-НБУ та апаратурою захисту АЗЕГО. Ознайомлення з правилами роботи та зберігання таємних ключів здійснюється адміністратором захисту інформації банківської установи та службою захисту інформації регіонального управління НБУ. Відповідальна особа має підписати "Зобов'язання адміністратора АРМ-НБУ" (додаток 4), до якого службою захисту інформації регіонального управління НБУ вноситься відмітка про перевірку знань та навиків роботи з АРМ-НБУ.
Якщо банківська установа працює тільки в інформаційних системах НБУ, то допуск адміністраторів АРМ-НБУ здійснюється адміністратором захисту інформації банківської установи, як і інших відповідальних осіб банківської установи (п.9.7 Правил та додаток 3).
9.9. Особа, яка наказом керівника банківської установи призначена адміністратором захисту інформації, має ознайомиться з нормативними документами НБУ з питань захисту інформації. Ознайомлення з нормативними документами НБУ та обов'язками адміністратора захисту інформації здійснюється службою захисту інформації регіонального управління НБУ. Адміністратор захисту інформації власноручно підписує "Зобов'язання адміністратора захисту інформації" (додаток 5), де службою захисту інформації регіонального управління НБУ вноситься відмітка про перевірку знань нормативних документів НБУ та обов'язків адміністратора захисту інформації.
Копія цього документа подається до служби захисту регіонального управління НБУ.
У разі неякісного виконання або невиконання своїх обов'язків адміністратором захисту інформації банківської установи служба захисту інформації регіонального управління НБУ має право звернутись до керівництва банківської установи з проханням призначити нового адміністратора захисту інформації.
9.10. Особи, відповідальні за роботу із засобами криптозахисту, повинні мати особисті печатки (можливе використання штампів, пломбіраторів та інш.) для опечатування засобів криптозахисту, сейфів і приміщення АРМ-НБУ.
Печатки (штампи, пломбіратори) мають бути зареєстровані в розділі 6 журналу обліку адміністратора захисту інформації (додаток 25).
Передача печаток (штампів, пломбіраторів) між відповідальними особами для тимчасового користування не допускається.
9.11. Якщо адміністратор АРМ-НБУ звільняється з банківської установи або переходить на іншу ділянку роботи, у т.ч. і пов'язану з вирішенням питань захисту електронної банківської інформації, то складається Акт про приймання-передавання засобів криптозахисту (додаток 6), здійснюються заходи, що передбачені п.8.4.9 Правил, і видається відповідний наказ по банківській установі.
Копія наказу подається до служби захисту інформації регіонального управління НБУ, копія акта не подається.
9.12. Якщо адміністратор захисту інформації звільняється з банківської установи або переходить на іншу ділянку роботи, у т.ч. і пов'язану з вирішенням питань захисту електронної банківської інформації, то складається акт про приймання-передавання засобів криптозахисту (додаток 6), здійснюються заходи, що передбачені п.7.13, 9.9 Правил, та по банківській установі видається відповідний наказ про звільнення цієї особи від обов'язків адміністратора захисту інформації. Копія наказу подається до служби захисту інформації регіонального управління НБУ, копія акта не подається.
9.13. У разі звільнення з банківської установи керівника, якщо він був призначений наказом адміністратором захисту інформації, Акт про приймання-передавання засобів криптозахисту затверджується заступником керівника банківської установи.
9.14. У разі запланованої відсутності адміністратора захисту інформації або адміністратора АРМ-НБУ (відпустка, навчання, відрядження тощо) вони мають здійснити передачу документів, засобів криптозахисту, ключів і печаток. Питання про потребу складання Акта в цьому разі вирішує керівник банківської установи.
9.15. У банківській установі має бути завчасно підготовлено і здійснено навчання такої кількості осіб, відповідальних за роботу із засобами криптозахисту:
Варіант "а" Варіант "б"
адміністратор захисту
адміністратор АРМ-НБУ
оператор АРМ бухгалтера
операціоністи
- 1 (2)
- 1 (2)
- 1 і більше
- 1 і більше
- 2 (3)
- 2 (3)
- 2 і більше
- 2 і більше
Варіант "а" застосовується при однозмінній роботі банківської установи.
Варіант "б" застосовується при двозмінній (півторазмінній) роботі банківської установи.
9.16. Відповідальні особи призначаються з розрахунку по одному відповідальному на зміну і по одному резервному відповідальному у разі відпусток, відряджень, хвороби, навчання тощо.
У разі відсутності основного відповідального резервний починає виконувати роботу із засобами криптозахисту без видання додаткового наказу. Службі захисту інформації регіонального управління НБУ про цю заміну не повідомляється.
Кількість операторів АРМ бухгалтера і операціоністів визначається керівником банківської установи з огляду на потреби банківської установи.
Зважаючи на ситуацію, що конкретно складається в банківській установі, керівник може при двозмінній роботі банківської установи зменшити кількість адміністраторів захисту інформації з трьох до двох. У цьому разі згідно з чинним законодавством установлюється індивідуальний розклад робочого дня зазначеної категорії відповідальних осіб.
9.17. У разі одночасної роботи в зміну двох відповідальних за роботу із засобами криптозахисту, які володіють однаковими правами (два адміністратори АРМ-НБУ, два адміністратори захисту інформації тощо), один з них має бути основним відповідальним, другий - резервним.
Основний відповідальний отримує за встановленим порядком засоби криптозахисту, працює з ними і несе відповідальність за їх зберігання.
Резервний відповідальний у разі виникнення потреби має право працювати з засобами криптозахисту лише після докуметального оформлення їх приймання від основного відповідального. У цьому разі особа, яка розписалася за засоби захисту, автоматично стає основним відповідальним.
9.18. Допускається збільшення кількості відповідальних осіб за роботу із засобами криптозахисту за погодженням зі службою захисту інформації обласного управління НБУ.
9.19. З метою дотримання вимог інформаційної безпеки при підборі відповідальних осіб для роботи із засобами криптозахисту треба керуватися таблицею суміщення функціональних обов'язків (додаток 32).
9.20. Адміністратор САБ та особи, відповідальні за розроблення і супроводження САБ, призначаються наказом по банківській установі (додаток 2).
10. Функціональні обов'язки відповідальних осіб
10.1. Функціональні обов'язки адміністратора захисту інформації.
Адміністратор захисту інформації повинен:
знати нормативні документи і вказівки служби захисту інформації НБУ та регіонального управління НБУ з питань організації захисту електронної банківської інформації та керуватися ними в повсякденній діяльності;
виконувати вимоги інформаційної безпеки в банківській установі та підписати "Зобов'язання адміністратора захисту інформації";
підтримувати конфіденційність системи захисту банківської установи;
здійснювати отримання засобів криптозахисту і виконувати їх заміну в службі захисту інформації регіонального управління НБУ;
здійснювати тестування криптоблока, електронної картки, програмного модуля генерації ключів;
вести листування зі службою захисту інформації регіонального управління НБУ з питань інформаційної безпеки;
ознайомлювати відповідальних осіб банківської установи з нормативними документами НБУ з питань захисту інформації та перевіряти знання правил використання та зберігання таємних ключів та інших засобів криптозахисту;
забезпечувати засобами криптозахисту виконавців;
вести облік засобів криптозахисту і контролювати їх рух;
вести журнали обліку і справи листування адміністратора захисту інформації і забезпечувати їх збереження;
забезпечувати генерацію ключів;
здійснювати зберігання ПМГК і його копії;
забезпечувати зберігання засобів криптозахисту на час, поки вони зберігаються в адміністратора захисту інформації;
забезпечувати відправлення на сертифікацію відкритих ключів, що потребують сертифікації;
вести архів відкритих ключів операціоністів, згенерованих у банківській установі;
здійснювати знищення за встановленим порядком копії ПМГК;
здійснювати контроль за дотриманням виконавцями правил інформаційної безпеки при роботі із засобами криптозахисту та їх зберіганні;
здійснювати контроль за строком дії ключів;
здійснювати контроль за необхідними змінами таблиць відкритих ключів;
здійснювати контроль за правильним і своєчасним знищенням виконавцями таємних ключів та їх копій;
здійснювати перевірки відповідності приміщення АРМ-НБУ і сейфів, у яких зберігаються засоби криптозахисту, вимогам інформаційної безпеки;
здійснювати контроль за веденням журналів обліку адміністратора АРМ-НБУ;
здійснювати контрольні перевірки відповідно до п.16.3 Правил;
інформувати керівництво банківської установи і службу захисту інформації регіонального управління НБУ про виявлені недоліки, що впливають на безпеку електронної банківської інформації;
брати участь (за рішенням керівника банківської установи) у розгляді фактів порушення правил інформаційної безпеки.
10.2. Функціональні обов'язки адміністратора АРМ-НБУ Адміністратор АРМ-НБУ повинен:
знати (в частині, що стосується його повноважень) нормативні документи і вказівки служби захисту інформації НБУ та регіонального управління НБУ з питань організації захисту електронної інформації і керуватися ними в повсякденній діяльності;
підтримувати конфіденційність системи захисту банківської установи;
дотримуватися технологічної дисципліни в роботі з програмно-апаратним комплексом АРМ-НБУ;
здійснювати генерацію ключів АРМ-НБУ;
здійснювати контроль за строком дії ключів АРМ-НБУ і своєчасну генерацію (з урахуванням часу на сертифікацію) чергових ключів АРМ-НБУ;
здійснювати зберігання таємного ключа АРМ-НБУ (у разі потреби - копію таємного ключа АРМ-НБУ) електронної картки, криптоблока;
забезпечувати зберігання засобів криптозахисту на час, поки вони перебувають в адміністратора АРМ-НБУ;
виконувати необхідні зміни в таблиці відкритих ключів АРМ-НБУ;
здійснювати знищення за встановленим порядком таємних ключів АРМ-НБУ та їх копій;
здійснювати перевірки відповідності приміщення АРМ-НБУ і сейфа адміністратора вимогам інформаційної безпеки;
дотримувати необхідного режиму допуску в приміщення АРМ-НБУ;
здавати під охорону і знімати з охорони приміщення АРМ-НБУ;
вести журнал обліку адміністратора АРМ-НБУ;
інформувати адміністратора захисту інформації про виникнення недоліків, що впливають на систему захисту електронних банківських документів;
брати участь (за рішенням керівника банківської установи) у розгляді фактів порушення правил інформаційної безпеки електронних платежів.
10.3. Функціональні обов'язки оператора АРМ бухгалтера, операціоністів та операторів інших робочих місць.
Оператор АРМ бухгалтера, операціоністи та оператори інших робочих місць САБ повинні:
знати (в частині, що стосується їх повноважень) нормативні документи і вказівки служби захисту інформації НБУ та регіонального управління НБУ з питань організації захисту електронної інформації і керуватися ними в повсякденній діяльності;
підтримувати конфіденційність системи захисту банківської установи;
дотримуватися технологічної дисципліни в роботі з програмним забезпеченням робочого місця;
виконувати правила використання та зберігання засобів криптозахисту;
здійснювати генерацію ключів;
здійснювати контроль за строком дії ключів і своєчасною генерацією (з урахуванням часу на сертифікацію) чергових ключів;
здійснювати зберігання (у разі наявності особистого сейфа) свого таємного ключа (у разі потреби - його копії);
передавати за встановленим порядком на зберігання (в разі відсутності особистого сейфа) свій таємний ключ (і його копію) адміністратору захисту інформації;
забезпечувати зберігання засобів криптозахисту на час їх зберігання у себе;
здійснювати знищення за встановленим порядком своїх таємних ключів (і їх копій);
інформувати адміністратора захисту інформації про виникнення недоліків, що впливають на безпеку електронної банківської інформації;
брати участь (за рішенням керівника банківської установи) у розгляді фактів порушення правил інформаційної безпеки електронних платежів.
10.4. Допуск відповідальних осіб до роботи із засобами криптозахисту.
З метою посилення захисту електронних платежів необхідно виконувати такий порядок розмежування допуску відповідальних осіб до засобів криптозахисту:
самостійний допуск до програмного модуля генерації ключів і роботи з ним мають тільки адміністратори захисту інформації;
самостійний допуск до роботи з криптоблоком, електронною карткою та таємним ключем АРМ-НБУ мають тільки адміністратори АРМ-НБУ;
усі адміністратори АРМ-НБУ мають знати пароль, установлений для таємного ключа АРМ-НБУ, або зробити для себе копію з використанням власного пароля;
самостійний допуск до таємного ключа АРМ бухгалтера і роботи з ним має тільки оператор АРМ бухгалтера і тільки кожний - до свого ключа;
пароль, установлений для таємного ключа АРМ бухгалтера, повинен знати тільки оператор АРМ бухгалтера і тільки кожний - до свого ключа;
самостійний допуск до таємного ключа операціоніста для роботи з ним має тільки операціоніст і тільки кожний - до свого ключа;
адміністратори АРМ-НБУ, оператори АРМ бухгалтера і операціоністи виконують свої функціональні обов'язки при роботі з програмним модулем генерації ключів лише в присутності адміністратора захисту інформації;
адміністратори захисту інформації виконують свої функціональні обов'язки і контрольні функції при роботі з таємними ключами і таблицею відкритих ключів АРМ-НБУ лише в присутності відповідних виконавців;
усі службові особи банківської установи несуть персональну відповідальність за створення умов для недопущення компрометації засобів криптозахисту.
11. Організація діловодства з питань захисту інформації
11.1. У банківській установі діловодством з питань організації системи захисту інформації в інформаційно-обчислювальній мережі НБУ займаються:
адміністратор захисту інформації;
адміністратор АРМ-НБУ.
11.2. Діловодство з питань захисту інформації ведеться відповідно до вимог, існуючих у банківській установі.
11.3. Зовнішнє оформлення наказів, актів, супровідних листів та інших документів, які передбачені цим документом, може відрізнятися від зразків, що пропонуються в додатках, виходячи з наявності в банківській установі різних бланків, штампів і особливостей ведення діловодства.
11.4. Організація діловодства адміністратором захисту інформації.
11.4.1. Адміністратор захисту інформації повинен вести:
справу N 1 адміністратора захисту;
справу N 2 адміністратора захисту;
журнал обліку адміністратора захисту.
11.4.2. У справі N 1 повинні зберігатися документи довгострокового користування, а саме:
нормативні акти НБУ, рекомендації регіонального управління НБУ з питань захисту;
останній акт перевірки службою захисту інформації регіонального управління НБУ організації захисту електронної банківської інформації;
"Зобов'язання" відповідальних за криптозахист осіб (додатки 3-5);
акт про приймання-передавання криптоблока від служби захисту інформації регіонального управління НБУ (додаток 7);
акт про приймання-передавання програмного модуля генерації ключів від служби захисту інформації регіонального управління НБУ (додаток 12);
довідка за підписом керівника банківської установи про стан сигналізації в приміщеннях;
картка реєстрації випадків несанкціонованого спрацювання сигналізації приміщення АРМ-НБУ;
довідка за підписом керівника банківської установи про дії відповідальних осіб, працюючих із засобами криптозахисту, у разі надзвичайних ситуацій;
допускається додавати до справи копії наказів про призначення відповідальних за криптозахист, акти приймання сигналізації приміщення АРМ-НБУ і договір про охорону;
інші документи з питань криптозахисту.
11.4.3. У справі N 2 мають лежати документи короткочасного користування, а саме:
супровідні листи (додатки 9-11, 14);
акти про приймання-передавання, знищення (додатки 6, 8, 13, 15, 16);
допускається додавати до справи копії наказів про особливий порядок роботи банківської установи в СЕП НБУ або про особливий порядок зберігання засобів криптозахисту (додатки 17-19);
інші документи з питань криптозахисту.
Документи з питань загальної безпеки, що не мають прямого стосунку до захисту електронних банківських документів, до справ N 1, 2 включатися не повинні у зв'язку з тим, що робота з ними не входить до компетенції служби захисту інформації регіонального управління НБУ.
Вказівки і рекомендації регіонального управління НБУ (або зняті з них копії), що надходять електронною поштою, можуть або включатися до справ N 1, 2, або реєструватися, зберігатися і знищуватися відповідно до правил, якими користуються в банківській установі.
11.4.4. Журнал обліку адміністратора захисту інформації складається з таких розділів:
Розділ 1. Перелік осіб, працюючих із засобами криптозахисту (додаток 20).
Розділ 2. Перелік нормативних документів і засобів криптозахисту, отриманих з управління захисту інформації НБУ та регіонального управління НБУ (додаток 21).
Розділ 3. Перелік таємних ключів, згенерованих в банківській установі (додаток 22).
Розділ 4. Перелік осіб, які мають право допуску в приміщення АРМ-НБУ (додаток 23).
Розділ 5. Перелік ключів від вхідних дверей приміщення АРМ-НБУ і сейфів відповідальних осіб, у яких зберігаються засоби криптозахисту (додаток 24).
Розділ 6. Перелік особистих печаток (штампів, пломбіраторів) відповідальних осіб для опечатування засобів криптозахисту (додаток 25).
Розділ 7. Облік руху засобів криптозахисту, що закріплені за адміністратором захисту інформації (додаток 26).
Розділ 8. Облік руху таємних ключів операторів АРМ бухгалтерів і операціоністів (додаток 27).
Розділ 9. Облік перевірок, проведених адміністратором захисту інформації (додаток 28).
11.5. Адміністратор АРМ-НБУ повинен вести журнал обліку адміністратора АРМ-НБУ, який має складатися з таких розділів:
Розділ 1. Облік руху засобів криптозахисту на АРМ-НБУ (додаток 29).
Розділ 2. Облік руху засобів криптозахисту адміністратора АРМ-НБУ під час особливого порядку зберігання засобів захисту (додаток 30).
11.6. Деякі особливості ведення журналів обліку.
Додаток 21
Уміщуються тільки документи тривалого користування (нормативні акти НБУ та роз'яснення з питань захисту інформації).
Додаток 26
Відмітки про приймання-передавання засобів криптозахисту здійснюються щоденно при організації двозмінної роботи адміністратора захисту інформації і в міру потреби - при однозмінній роботі (відсутність основного адміністратора захисту - відпустка, навчання, хвороба тощо). У цьому разі має зазначатися дата реального передання засобів криптозахисту між адміністраторами захисту інформації.
Додаток 27
1. У цьому додатку не враховуються таємні ключі тих операторів робочих місць САБ, які здійснюють зберігання своїх таємних ключів у своїх особистих сейфах.
2. Якщо оператор (операціоніст) не отримував свій таємний ключ для роботи, то в стовпчиках 3, 4 ставиться прочерк, а в стовпчиках 5, 6 робиться відмітка адміністратора захисту інформації, який відповідальний за зберігання і розпочав зміну, про отримання цього таємного ключа на зберігання.
3. Якщо закінчився строк дії таємного ключа, то в стовпчиках 5,6 ставиться відмітка про припинення його строку дії, а приймання-передавання заново згенерованого таємного ключа для цього виконавця здійснюватиметься аналогічним чином.
4. При передаванні зміни між відповідальними за зберігання, здійснюється відповідний запис або після поточної дати, якщо зміна відбувається вранці, або після відміток про видачу таємних ключів, якщо зміна відбувається вдень або в кінці робочого дня.
5. У разі потреби допускається вести не загальний облік руху таємних ключів на всіх виконавців, а індивідуальний - на кожного виконавця.
6. Допускається збирати облікові форми у швидкозшивачі. У цьому разі швидкозшивач розглядається як доповнення до журналу обліку.
Додаток 29
У цьому додатку робляться записи про всі зміни із засобами криптозахисту АРМ-НБУ. Приклади можливих змін наведені в тексті.
Додаток 30
1. Цей додаток заводиться тільки в разі передавання засобів захисту на зберігання в грошове сховище або в сейф керівника банківської установи (п.14.3 Правил).
У додатках, в графах "примітка", у разі потреби робляться короткі робочі помітки. Наприклад, у додатку 20 - про причину звільнення відповідального від роботи із засобами криптозахисту; у додатку 21 - про факт компрометації засобів криптозахисту тощо.
12. Перевірка готовності банківської установи до включення в інформаційно-обчислювальну мережу НБУ
12.1. Перевірка готовності банківської установи до включення в інформаційно-обчислювальну мережу НБУ здійснюється службою захисту інформації регіонального управління НБУ після виконання банківською установою необхідних первинних заходів щодо організації захисту електронної банківської інформації відповідно до вимог, що визначаються цими Правилами та іншими нормативними документами НБУ.
Підставою для перевірки є відповідне розпорядження керівництва РРП службі захисту інформації регіонального управління НБУ.
12.2. У процесі перевірки вивчаються такі питання:
наявність технічних можливостей для організації робочих місць відповідальних за роботу із засобами криптозахисту;
стан приміщення для АРМ-НБУ щодо вимог інформаційної безпеки;
наявність відповідальних осіб за роботу із засобами криптозахисту;
наявність належних нормативних актів та інших документів про організацію забезпечення інформаційної безпеки при роботі в інформаційно-обчислювальній мережі НБУ;
наявність підготовленого пакета документів:
а) акт про приймання-передавання сигналізації приміщення АРМ-НБУ між банківською установою та підрозділом охорони УВСУ;
б) наказ по банківській установі про призначення відповідальних за криптозахист осіб;
в) "Зобов'язання" усіх відповідальних осіб про виконання вимог до роботи із засобами криптозахисту;
перевірка знань положень нормативних актів, що регламентують порядок забезпечення інформаційної безпеки при роботі в інформаційно-обчислювальній мережі, у відповідальних за роботу із засобами криптозахисту.
12.3. У разі відсутності недоліків за результатами перевірки складається відповідний акт.
За наявності недоліків, що впливають на організацію захисту електронних банківських документів, також складається акт із зазначенням виявлених недоліків та встановленням строку їх усунення.
При підключенні банківської установи до СЕП НБУ за домовленістю з керівництвом регіонального управління НБУ допускається протягом місяця використовувати особливий порядок організації зберігання засобів криптозахисту (п.14.3 Правил).
12.4. Питання надання службою захисту інформації регіонального управління НБУ в банківську установу необхідних засобів криптозахисту і документів, що регламентують правила інформаційної безпеки при роботі в СЕП НБУ, узгоджується в робочому порядку.
13. Повернення засобів криптозахисту
13.1. Повернення засобів криптозахисту до служби захисту інформації регіонального управління НБУ здійснюється банківською установою у разі:
а) ліквідації банківської установи;
б) припинення роботи банківської установи в СЕП НБУ;
в) виявлення порушень в організації захисту електронних банківських документів, що впливають на їх безпеку;
г) проведення правоохоронними органами та іншими державними установами перевірки комерційної діяльності банківської установи, якщо при цьому виникають умови компрометації діючих засобів криптозахисту.
13.2. У випадках, передбачених підпунктом а) п.13.1 Правил, банківська установа, що ліквідується, має повернути криптоблок до служби захисту регіонального управління НБУ протягом трьох днів. У разі потреби подальша робота банківської установи в СЕП виконується із застосуванням програмного шифрування або іншим шляхом (через АРМ "Юридична комісія" тощо) відповідно до вказівок керівництва регіонального управління НБУ.
13.3. У випадках, передбачених підпунктом б) п.13.1 Правил, банківська установа повинна:
заздалегідь погодити зі службою захисту інформації регіонального управління НБУ передбачувані строки і порядок виходу банківської установи із СЕП НБУ або переходу на іншу модель роботи, перелік засобів криптозахисту, програм, журналів, які підлягають поверненню до служби захисту інформації регіонального управління НБУ, передачі в архів банківської установи або знищенню на місці;
відповідно до акта (додаток 16) здійснити необхідні заходи щодо повернення до служби захисту інформації регіонального управління НБУ, знищення і здавання в архів відповідних засобів криптозахисту, програм, справ, журналів обліку;
надіслати до служби захисту регіонального управління НБУ акт (додаток 16) у двох примірниках, один з яких після узгодження і затвердження залишається в службі захисту інформації регіонального управління НБУ, другий - зберігається в банківській установі.
Засоби криптозахисту (за винятком криптоблока) банківська установа передає до служби захисту інформації регіонального управління НБУ нарочним або спецзв'язком.
Криптоблок до служби захисту інформації регіонального управління НБУ передається тільки нарочним.
13.4. У випадках, передбачених підпунктами в) і г) п.13.1 Правил, питання про доцільність повернення або знищення засобів криптозахисту і програмного забезпечення буде вирішуватися в залежності від ситуації, що склалася.
14. Особливий порядок роботи в СЕП НБУ і зберігання засобів криптозахисту
14.1. За надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо) слід, у міру можливості, вжити заходів щодо порятунку засобів криптозахисту, програмного забезпечення АРМ-НБУ, електронних архівів, комп'ютерної техніки тощо.
У справі N 1 адміністратора захисту інформації має бути підписана керівником банківської установи довідка, що складена в довільній формі та регламентує дії осіб, які працюють із засобами криптозахисту, під час надзвичайної ситуації. З цією довідкою мають бути ознайомлені всі зацікавлені службові особи. У разі потреби виписки з довідки можуть знаходитися і на робочих місцях осіб, працюючих із засобами криптозахисту.
14.2. За аварійної ситуації (відключення електроживлення, пошкодження кабельних ліній зв'язку тощо) за попереднім узгодженням зі службою захисту інформації регіонального управління НБУ дозволяється на штатній ПЕОМ АРМ-НБУ здійснити роботу в СЕП НБУ протягом одного робочого дня в приміщенні іншої установи, організації тощо з дотриманням правил застереження і зберігання обладнання, засобів криптозахисту, програмного забезпечення АРМ-НБУ тощо.
У цьому разі в банківській установі затверджується наказ (додаток 17), копія якого надсилається до служби захисту інформації регіонального управління НБУ.
14.3. У разі потреби (ремонтні роботи, переведення АРМ-НБУ в інше приміщення тощо) за попереднім погодженням зі службою захисту інформації регіонального управління НБУ допускається тимчасове зберігання засобів криптозахисту АРМ-НБУ:
в грошовому сховищі банківської установи;
в сейфі керівника банківської установи, якщо ці приміщення обладнані відповідно до вимог, що визначаються відповідними нормативними документами.
У цьому разі в банківській установі затверджується наказ (додатки 18, 19), копія якого направляється до служби захисту інформації регіонального управління НБУ.
При передаванні засобів криптозахисту на зберігання вони мають бути запаковані, опечатані печатками відповідальних осіб з особистим підписом у розділі 2 журналу обліку адміністратора АРМ-НБУ (додаток 30).
14.4. За умов компрометації засобів криптозахисту в процесі роботи правоохоронних органів в банківській установі банківська установа повинна поінформувати правоохоронні органи про наявність у неї засобів криптозахисту (криптоблок, електронна картка, програмний модуль генерації ключів, копії ПМГК) та програмного забезпечення АРМ-НБУ, які є банківською таємницею і власністю НБУ. Банківська установа повинна також проінформувати службу захисту інформації регіонального управління НБУ про цей випадок для прийняття рішення про порядок подальшої роботи із засобами захисту НБУ.
15. Перелік питань, що вимагають інформування служби захисту інформації регіонального управління НБУ
15.1. Банківська установа зобов'язана негайно (по телефону) інформувати службу захисту інформації регіонального управління НБУ у таких випадках:
виконання (спроби виконання) фіктивного платіжного документа;
компрометації засобів криптозахисту;
пошкодження засобів криптозахисту;
несанкціонованого проникнення в приміщення АРМ-НБУ (пошкодження вхідних дверей, грат на вікнах, спрацювання сигналізації при нез'ясованих обставинах тощо);
проведення правоохоронними органами та іншими державними установами перевірки комерційної діяльності банківської установи, якщо при цьому виникають умови для компрометації діючих засобів криптозахисту;
виникнення інших аварійних або надзвичайних ситуацій, що створюють реальні передумови до розкрадання, втрати, пошкодження тощо засобів криптозахисту.
15.2. Банківська установа зобов'язана проводити попереднє узгодження зі службою захисту інформації регіонального управління НБУ у таких випадках:
переведення АРМ-НБУ (у тому числі й тимчасово) в інше приміщення банківської установи;
організації аварійної роботи АРМ-НБУ поза межами банківської установи;
тимчасового зберігання засобів криптозахисту в грошовому сховищі банківської установи або в сейфі керівника банківської установи;
виникнення інших нестандартних ситуацій.
15.3. Банківська установа зобов'язана повідомляти службу захисту регіонального управління НБУ в робочому порядку у таких випадках:
призначення адміністраторів захисту інформації, адміністраторів АРМ-НБУ і АРМ бухгалтера (копія наказу або виписки з наказу);
звільнення від обов'язків адміністратора захисту інформації, адміністратора АРМ-НБУ та АРМ бухгалтера (копія наказу або виписка з наказу);
отримання засобів криптозахисту, що надсилаються службою захисту інформації регіонального управління НБУ засобами спецзв'язку (підтвердження);
переходу на програмне шифрування і зворотного переходу на апаратне шифрування електронних платежів (лист);
позапланової заміни програмного модуля генерації ключів (лист).
16. Контрольно-перевірні заходи щодо організації захисту інформації в банківській установі
16.1. У повсякденній діяльності банківської установи організація контролю забезпечення захисту електронних банківських документів відповідно до вимог нормативних документів НБУ покладається на:
керівника банківської установи (особи, яка виконує його обов'язки);
заступника керівника банківської установи, який за своїми службовими обов'язками або за окремим наказом по банківської установі призначений відповідальним за організацію захисту електронних банківських документів.
16.2. Безпосередньо контроль за станом захисту електронної банківської інформації в банківській установі здійснює адміністратор захисту інформації.
Цей контроль здійснюється як у процесі повсякденної діяльності, виходячи із ситуації, що конкретно складається на тій або іншій дільниці роботи, так і в ході планових перевірок.
16.3. Адміністратор захисту електронної банківської інформації виконує планові перевірки не рідше одного разу на квартал.
Перевірки здійснюються в обсязі нормативних документів НБУ, але основну увагу при цьому слід звертати на наявність засобів криптозахисту, ключів від сейфів, у яких зберігаються засоби криптозахисту, і від вхідних дверей приміщення АРМ-НБУ, облікових даних, виконання вимог інформаційної безпеки при роботі із засобами криптозахисту, дотримання системи обмеження доступу до приміщення АРМ-НБУ, знання відповідальними особами нормативних документів з питань інформаційної безпеки при роботі в СЕП НБУ, правильне і своєчасне заповнення журналів обліку.
Після завершення перевірки в розділі 9 журналу обліку адміністратора захисту інформації робиться відповідна відмітка (додаток 28 ).
16.4. Контроль за станом захисту електронних банківських документів покладений на службу захисту інформації регіонального управління НБУ.
Контроль здійснюється в процесі перевірок, які виконує співробітник (співробітники) служби захисту інформації регіонального управління НБУ.
16.5. Перевіряльник служби захисту інформації регіонального управління НБУ зобов'язаний мати при собі документи, які підтверджують його особу, і розпорядження на перевірку, на якому є підпис керівника (заступника) регіонального управління НБУ.
Розпорядження складається в довільній формі.
Перевіряльник здійснює перевірку в присутності службової особи, призначеної керівником банківської установи.
При перевірці перевіряльник керується нормативними актами Національного банку України і рекомендаціями регіонального управління НБУ з питань організації захисту електронної інформації.
16.6. Співробітник служби захисту інформації регіонального управління НБУ, який перевіряє банківську установу, має право:
перевіряти засоби криптозахисту, комп'ютер АРМ-НБУ, журнали, справи і документи з питань криптозахисту;
відвідувати приміщення АРМ-НБУ, вивчати умови зберігання засобів криптозахисту, стан сигналізації приміщення АРМ-НБУ, здійснювати за узгодженням з відповідним відділом охорони контрольну перевірку її спрацювання;
відвідувати робочі місця адміністратора захисту інформації, операторів АРМ бухгалтера, операціоністів і вивчати умови зберігання засобів криптозахисту;
перевіряти у відповідальних за роботу із засобами криптозахисту знання нормативних актів, що регламентують забезпечення інформаційної безпеки, рекомендацій служби захисту інформації регіонального управління НБУ, їх навичок працювати із засобами криптозахисту;
ознайомлюватися з наказами, актами й іншими документами банківської установи, що дають змогу проконтролювати виконання вимог інформаційної безпеки відповідальними особами;
брати участь у службових розслідуваннях, що проводяться в банківській установі при виявленні недоліків організації захисту електронної банківської інформації.
16.7. Передбачаються такі види перевірок банківських установ з боку служби захисту регіонального управління НБУ:
планові (не рідше одного разу на рік);
позапланові:
а) при первинному підключенні банківської установи до інформаційно-обчислювальної мережі НБУ;
б) при підключенні до мережі НБУ банківської установи, яка була раніше тимчасово виключена з мережі НБУ;
в) за результатами усунення виявлених недоліків, при надзвичайних ситуаціях, упровадженні нових засобів криптозахисту, особливому порядку роботи в СЕП НБУ тощо.
16.8. За результатами перевірки складається Акт про перевірку організації захисту електронних банківських документів (додаток 31) у двох примірниках, що підписується співробітником служби захисту інформації регіонального управління НБУ і керівником банківської установи. Один примірник акта залишається в банківській установі, другий - подається до служби захисту інформації регіонального управління НБУ.
17. Ведення архівів
17.1. Для уникнення непередбачених затримок у роботі банківської установи в СЕП НБУ, у разі повного або часткового знищення таблиць відкритих ключів, у банківській установі мають вестися:
архів діючих відкритих ключів операціоністів, згенерованих у цій банківській установі;
архів файлів сертифікатів відкритих ключів, що надходять з управління захисту інформації НБУ.
17.2. Для отримання від служби захисту інформації НБУ достовірної інформації при вирішенні спірних питань, пов'язаних з електронними платіжними документами, в тому числі і для господарського суду, в банківській установі мають вестися:
( Абзац перший пункту 17.2 із змінами, внесеними згідно з Постановою Національного банку N 495 від 04.12.2001 )
архів електронних платежів банківської установи;
архів роботи АРМ-НБУ, що включає арбітражні журнали роботи АРМ-НБУ та захищений від модифікації протокол роботи;
архів відкритих ключів операціоністів, згенерованих у цій банківській установі.
17.3. У разі збоїв у роботі АРМ-НБУ, які призвели до втрати частини архіву (в тому числі арбітражних журналів та захищеного від модифікації протоколу роботи), складається акт у довільній формі про подію, що сталася. Строк зберігання цього акта збігається зі строком зберігання архівів електронних платежів.
17.4. Порядок ведення архівів, їх облік, призначення осіб, відповідальних за роботу з архівом, належить до компетенції керівництва банківської установи.
Начальник управління захисту інформації
Департаменту інформатизації

І.А.Безбородько
Додаток 1
до п.2.10 Правил організації захисту
електронних банківських документів в
установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Узагальнений перелік найсерйозніших порушень в організації роботи із засобами захисту інформації Національного банку України
1. Використання засобів захисту Національного банку у внутрішній платіжній системі банківської установи, системі "клієнт-банк" тощо.
2. Неправильний розподіл повноважень відповідальних осіб, які мають доступ до засобів криптозахисту.
3. Порушення правила про те, що кожний платіжний документ банківської установи має оброблятися хоча б двома відповідальними особами (бухгалтер та операціоніст) цієї банківської установи.
4. Допуск адміністратора захисту інформації або адміністратора САБ до обробки електронних платежів.
5. Порушення правил генерації, використання та зберігання таємних ключів.
6. Робота із засобами криптозахисту осіб, які не були призначені наказом по банківській установі.
7. Знеособленість при роботі і зберіганні засобів криптозахисту.
8. Передавання засобів криптозахисту в інші банківські установи та використання в роботі засобів криптозахисту інших банківських установ.
9. Використання для захисту електронних платежів скомпрометованих засобів криптозахисту.
10. Наявність неврахованих копій засобів криптозахисту, наявність завищеної кількості копій засобів криптозахисту.
11. Наявність копій таємних ключів операціоністів, невчасне вилучення з ТВК АРМ-НБУ відкритих ключів операціоністів, які припинили обробку електронних платіжних документів.
12. Зберігання на жорсткому диску ПЕОМ АРМ-НБУ програм, які не використовуються при організації обробки електронних платежів.
13. Використання сейфів для зберігання засобів криптозахисту і замків вхідних дверей АРМ-НБУ у разі втрати хоча б одного примірника ключів.
Додаток 2
до п.9.5 Правил організації захисту
електронних банківських документів
в установах, включених до
інформаційно-обчислювальної мережі
Національного банку України
Наказ
"___"___________ 199_ р. N ___
Про призначення відповідальних осіб за роботу із засобами криптозахисту електронної банківської інформації в інформаційно-обчислювальній мережі Національного банку України і тих, які мають право допуску в приміщення АРМ-НБУ банківської установи
НАКАЗУЮ:
1. Призначити відповідальними за роботу із засобами криптозахисту в інформаційно-обчислювальній мережі НБУ:
1.1. Адміністратором захисту інформації
посада, прізвище, ім'я, по батькові;
посада, прізвище, ім'я, по батькові;
посада, прізвище, ім'я, по батькові.
1.2. Адміністратором АРМ-НБУ:
посада, прізвище, ім'я, по батькові;
посада, прізвище, ім'я, по батькові;
посада, прізвище, ім'я, по батькові.
1.3. Оператором АРМ бухгалтера:
посада, прізвище, ім'я, по батькові;
посада, прізвище, ім'я, по батькові;
посада, прізвище, ім'я, по батькові.
1.4. Операціоністом:
посада, прізвище, ім'я, по батькові;
посада, прізвище, ім'я, по батькові;
посада, прізвище, ім'я, по батькові.
Призначеним відповідальними за роботу із засобами криптозахисту вивчити нормативні документи НБУ з питань інформаційної безпеки, правил використання та зберігання засобів криптозахисту у межах своїх службових обов'язків.
2. Призначити відповідальними:
2.1. Адміністратором САБ:
посада, прізвище, ім'я, по батькові;
посада, прізвище, ім'я, по батькові.
2.2. За розробку САБ:
посада, прізвище, ім'я, по батькові;
посада, прізвище, ім'я, по батькові.
3. Дозволити допуск до приміщення АРМ-НБУ:
3.1. З правом самостійної роботи на АРМ-НБУ:
адміністратору АРМ-НБУ - прізвище, ім'я, по батькові;
адміністратору АРМ-НБУ - прізвище, ім'я, по батькові;

................
Перейти до повного тексту