Відповідно до статті 7 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність" і статті 38 Закону України "Про платіжні системи та переказ коштів в Україні" та з метою встановлення вимог з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи, Правління Національного банку України

1. Затвердити Правила з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи (додаються).

3. Департаменту інформатизації (А.С.Савченко) після державної реєстрації в Міністерстві юстиції України довести зміст цієї постанови до відома центрального апарату, структурних підрозділів і одиниць, територіальних управлінь, навчальних закладів Національного банку України та банків України для використання в роботі.

4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України П.М.Сенища.

5. Постанова набирає чинності через один місяць після державної реєстрації в Міністерстві юстиції України.

1.1. Ці Правила розроблені відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність", "Про інформацію", "Про захист інформації в інформаційно-телекомунікаційних системах".

1.2. Вимоги цих Правил поширюються на приміщення центрального апарату, структурних підрозділів і одиниць, територіальних управлінь, навчальних закладів Національного банку України (далі - Національний банк), банків України та їх відокремлених підрозділів (далі - банки), у яких обробляються електронні банківські документи, що містять відомості з грифом "Банківська таємниця", та інша електронна інформація, доступ до якої обмежений банком, а також на приміщення банків, що заново будуються, реконструюються або проектна документація на які не була затверджена до набрання чинності цим Положенням.

1.3. У цих Правилах терміни вживаються в таких значеннях:

приміщення з обмеженим доступом - приміщення, у яких розташовані робочі місця з комп'ютерною технікою, обробляються електронні банківські документи, що містять відомості з грифом "Банківська таємниця", та інша електронна інформація, доступ до якої обмежений банком;

комутаційні кімнати - приміщення, у яких розташовано телекомунікаційне обладнання, що забезпечує функціонування локальних і корпоративних мереж банку, а також зв'язок з іншими установами та мережами загального користування;

серверні приміщення - приміщення, у яких розташовані сервери баз даних, сервери прикладних програм, файлові сервери тощо, на яких обробляються та зберігаються електронні банківські документи і бази даних.

Інші терміни, що використовуються у цих Правилах, уживаються в значеннях, визначених нормативно-правовими актами з питань технічного захисту інформації.

1.4. Ці Правила встановлюють вимоги до систем електроживлення та заземлення, мережевого обладнання, приміщень з обмеженим доступом, комутаційних кімнат, серверних приміщень, приміщень, у яких зберігаються електронні архіви (далі - приміщення електронних архівів).

1.5. За порушення банками вимог цих Правил Національний банк має право застосувати заходи впливу відповідно до законодавства України.

2.1. Приміщення з обмеженим доступом визначаються внутрішнім документом банку з урахуванням особливостей організації робіт з електронними банківськими документами та із зазначенням прізвищ, імен та по батькові відповідальних працівників банку.

2.2. Приміщення з обмеженим доступом не можуть бути прохідними та мають розташовуватися таким чином, щоб унеможливити перебування інших осіб без супроводу відповідальних працівників банку.

2.3. Приміщення з обмеженим доступом слід обладнувати дверима з кодовим механічним замком або системою розмежування доступу та механічним замком.

2.4. Приміщення з обмеженим доступом слід обладнувати охоронною сигналізацією, виведеною на пост власної служби охорони банку та/або суб'єкта охорони банку.

2.5. Екрани дисплеїв комп'ютерів у таких приміщеннях слід розміщувати таким чином, щоб унеможливити ознайомлення з інформацією, яка виводиться на них, іншими особами (у тому числі крізь вікна, скляні огорожі тощо).

3.1. До комутаційних кімнат належать приміщення, у яких установлено комутаційне обладнання, що виконує функції управління мережами банку та зв'язком з іншими установами і мережами загального користування.

3.2. Комутаційні кімнати слід обладнувати як приміщення з обмеженим доступом.

3.3. Комутаційні кімнати не повинні містити робочі місця для працівників банку.

3.4. У кожній комутаційній кімнаті повинен вестися журнал на паперових носіях, у якому відображаються:

дата та час відкриття і закриття кімнати;

прізвище працівника, який відвідав кімнату;

опис проведених робіт.

3.5. У разі розташування комутаційного обладнання в комутаційних шафах, які розташовані в коридорах або інших приміщеннях банку, такі шафи мають бути обладнані датчиками на відкриття і пожежними датчиками з виведенням їх сигналів на робочі місця осіб, які відповідають за мережеве обладнання, або на пульт служби централізованої охорони. Допускається обладнання комутаційних шаф замість датчиків на відкриття засобами для опечатування з обов'язковою перевіркою цілісності відбитків печаток не рідше одного разу на тиждень.

4.1. Технічний захист інформації в серверних приміщеннях і приміщеннях електронних архівів здійснюється за допомогою екранування приміщення або використання екранованих шаф, екранованих сейфів (клас опору до злому не нижче II), екранованих кабін з метою запобігання витоку інформації через побічні випромінювання і наводи, а також від порушення її цілісності внаслідок впливу зовнішніх електромагнітних полів (або зменшення такого впливу).

4.2. Забороняється розміщення робочих місць працівників банку в серверних приміщеннях.

4.3. Допускається використання екранованих шаф (сейфів) для розміщення серверів баз даних, серверів прикладних задач тощо, а також електронних архівів у приміщеннях з обмеженим доступом. У разі використання екранованих шаф (сейфів) вони повинні мати сертифікат відповідності, виданий Державною службою спеціального зв'язку та захисту інформації України.

4.4. Серверні приміщення та приміщення електронних архівів рекомендується розташовувати у віддалених один від одного кінцях будівлі. Якщо є така змога, ці приміщення розташовують у внутрішній частині будівлі або з боку внутрішнього двору.

4.5. Серверні приміщення та приміщення електронних архівів рекомендується розташовувати в приміщеннях без вікон. Це не поширюється на старі приміщення, що реконструюються, та на неекрановані приміщення, у яких установлені екрановані шафи (сейфи).

4.6. Для запобігання несанкціонованому доступу до серверних приміщень та приміщень електронних архівів їх двері повинні бути обладнані автоматизованою системою доступу або кодовим замком, не менше ніж двома рубежами охоронної сигналізації, кожний з яких підключений окремими кодами до приймально-контрольних приладів, установлених на посту охорони банку та/або суб'єкта охорони банку.

4.7. Серверні приміщення та приміщення електронних архівів мають бути обладнані системою оповіщення під час пожежі та автоматичною системою газового пожежогасіння. Внутрішні поверхні цих приміщень облицьовуються пожежобезпечними матеріалами, що відповідають санітарно-гігієнічним вимогам.

4.8. З метою недопущення проникнення через повітропроводи системи вентиляції та канали для введення кабелів і комунікацій до серверних приміщень і приміщення електронних архівів сторонніх речовин їх слід обладнати вогнетривкими пробками чи вогнетривкими аварійними заслінками.

4.9. Серверні приміщення та приміщення електронних архівів обладнуються централізованою або окремою системою припливно-витяжної вентиляції з очищенням від пилу та окремою системою автоматичного кондиціювання повітря з очищенням від пилу, які повинні забезпечувати в приміщенні температуру повітря 18-24 град.С і відносну вологість не більше ніж 60% у будь-яку пору року.

4.10. У кожному серверному приміщенні та приміщенні електронних архівів повинен вестися журнал на паперових носіях, у якому відображаються:

дата та час відкриття і закриття кімнати;

прізвище працівника, який відвідав кімнату;

опис проведених робіт.

5.1. Екрановані приміщення повинні забезпечувати ефективність екранування не менше 20 дБ у діапазоні частот 0,15-1000 МГц.

5.2. Вимірювання ефективності екранування здійснюються юридичними особами, які мають ліцензію Державної служби спеціального зв'язку та захисту інформації України на провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації. Для підрозділів Національного банку вимірювання здійснюються підрозділом Національного банку, який має дозвіл Державної служби спеціального зв'язку та захисту інформації України.

5.3. Для виконання робіт з облаштування екранованих приміщень має розроблятися проект, який повинен містити: