Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України

ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ

ПОСТАНОВА
02.04.2007 N 112

(Постанова втратила чинність на підставі Постанови
Правління Національного банку України
N 829 від 26.11.2015)

Зареєстровано
в Міністерстві юстиції України
24 квітня 2007 р. за N 419/13686

(Постанова втратила чинність на підставі Постанови
Правління Національного банку України
N 829 від 26.11.2015)

Про затвердження Правил організації захисту
електронних банківських документів з використанням
засобів захисту інформації Національного
банку України

Про затвердження Правил організації захисту електронних
банківських документів з використанням засобів захисту
інформації Національного банку України

Відповідно до статті 7 Закону України "Про Національний банк України" ( 679-14 ), з метою підвищення рівня захисту інформації в банках України, їх філіях, установах Державного казначейства України, державних установах, небанківських установах, які використовують засоби захисту інформації Національного банку України, та у зв'язку з упровадженням нових інформаційних технологій Правління Національного банку України постановляє:

(Із змінами, внесеними згідно з
Постановою Національного банку
N 439 від 07.07.2015)

1. Затвердити Правила організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України (додаються).

Відповідно до статті 7 Закону України "Про Національний банк України", з метою підвищення рівня захисту інформації в банках України, їх філіях, установах Державного казначейства України, державних установах, небанківських установах, які використовують засоби захисту інформації Національного банку України, та у зв'язку з упровадженням нових інформаційних технологій Правління Національного банку України ПОСТАНОВЛЯЄ:

2. Визнати такою, що втратила чинність:

постанову Правління Національного банку України від 10.06.99 N 280 "Про затвердження Правил організації захисту електронних банківських документів", зареєстровану в Міністерстві юстиції України 30.08.99 за N 583/3876 (із змінами).

2. Визнати такою, що втратила чинність:

3. Департаменту інформатизації (А.С.Савченко) після державної реєстрації в Міністерстві юстиції України довести зміст цієї постанови до відома Центральної розрахункової палати, територіальних управлінь Національного банку України, банків України, їх філій, установ Державного казначейства України, інших органів державної влади, небанківських установ, які використовують засоби захисту інформації Національного банку України, для застосування в роботі.

4. Постанова набирає чинності через 10 днів після державної реєстрації в Міністерстві юстиції України.

5. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України П.М.Сенища.

4. Постанова набирає чинності через 10 днів після державної реєстрації в Міністерстві юстиції України.

В.о.Голови А.В.Шаповалов

Затверджено
Постанова Правління
Національного банку України
02.04.2007 N 112

В.о.Голови А.В. Шаповалов

Зареєстровано
в Міністерстві юстиції України
24 квітня 2007 р. за N 419/13686

Затверджено
Постанова Правління
Національного банку України
02.04.2007 N 112

Правила
організації захисту електронних банківських
документів з використанням засобів захисту
інформації Національного банку України

Зареєстровано
в Міністерстві юстиції України
24 квітня 2007 р. за N 419/13686

Глава 1. Загальні положення

Правила
організації захисту електронних банківських документів
з використанням засобів захисту інформації Національного банку України

1.1. Ці Правила розроблені відповідно до статті 7 Закону України "Про Національний банк України" ( 679-14 ), статті 66 Закону України "Про банки і банківську діяльність" ( 2121-14 ), Законів України "Про платіжні системи та переказ коштів в Україні" ( 2346-14 ), "Про електронні документи та електронний документообіг" ( 851-15 ), "Про захист інформації в інформаційно-телекомунікаційних системах" ( 80/94-ВР ) і нормативно-правових актів Національного банку України (далі - Національний банк).

(У тексті Правил слова "територіальне управління/Центральна
розрахункова палата Національного банку" у всіх відмінках
замінено словами "регіональний підрозділ Департаменту
інформаційної безпеки" у відповідних відмінках згідно з
Постановою Національного банку N 439 від 07.07.2015)

1.2. У тексті Правил скорочення вживаються в такому значенні:

Глава 1. Загальні положення

АКЗІ - апаратура криптографічного захисту інформації;

1.1. Ці Правила розроблені відповідно до статті 7 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність", Законів України "Про платіжні системи та переказ коштів в Україні", "Про електронні документи та електронний документообіг", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України (далі - Національний банк).

АРМ - автоматизоване робоче місце;

1.2. У тексті Правил скорочення вживаються в такому значенні:

АРМ бухгалтера САБ - автоматизоване робоче місце САБ, на якому здійснюється формування файлів/онлайнових пакетів, які містять початкові платежі СЕП;

АКЗІ - апаратура криптографічного захисту інформації;

АРМ-СЕП - автоматизоване робоче місце АРМ-НБУ з програмними та апаратними засобами захисту інформації, яке призначене для роботи в СЕП;

АРМ - автоматизоване робоче місце;

АРМ-НБУ - автоматизоване робоче місце АРМ-НБУ-інформаційний з програмними засобами захисту інформації, яке призначене для роботи в інформаційних задачах Національного банку;

АС - автоматизована система;

(Абзац п'ятий пункту 1.2 глави 1 виключено на підставі Постанови Національного банку N 439 від 07.07.2015)

ВК - відкритий ключ;

ГМД - гнучкий магнітний диск;

АС - автоматизована система;

ЕЦП - електронний цифровий підпис;

ВК - відкритий ключ;

засоби захисту - засоби захисту інформації Національного банку;

ГМД - гнучкий магнітний диск;

інформаційні задачі - програмно-технічні комплекси, які забезпечують оброблення та передавання інформації, що не належить до платіжних документів СЕП, з використанням засобів захисту інформації Національного банку між банками України, Національним банком, органами державної влади і небанківськими організаціями;

ЕЦП - електронний цифровий підпис;

ПЕОМ - персональна електронна обчислювальна машина;

засоби захисту - засоби захисту інформації Національного банку;

ПМГК - програмний модуль генерації ключів;

інформаційні задачі - програмно-технічні комплекси автоматизації банківської діяльності, які забезпечують оброблення та передавання інформації, що не належить до платіжної та технологічної інформації СЕП, з використанням засобів захисту інформації Національного банку між банками України, їх філіями, Національним банком, органами державної влади і небанківськими організаціями;

ТК - таємний ключ;

(Абзац одинадцятий пункту 1.2 глави 1 в редакції Постанови Національного банку N 439 від 07.07.2015)

САБ - система автоматизації банку;

ПЕОМ - персональна електронна обчислювальна машина;

СЕП - система електронних платежів;

ПМГК - програмний модуль генерації ключів;

СК - смарт-картка;

регіональний підрозділ Департаменту інформаційної безпеки - структурний підрозділ Департаменту інформаційної безпеки, працівники якого мають робочі місця в територіальних управліннях Національного банку за місцем розташування організації;

ТВК - таблиця відкритих ключів.

(Пункт 1.2 глави 1 доповнено новим терміном згідно з Постановою Національного банку N 439 від 07.07.2015)

1.3. Правила регламентують порядок отримання, обліку, передавання, використання та зберігання засобів захисту, виконання вимог щодо правил інформаційної безпеки в банках України, їх філіях, органах державної влади, небанківських установах, які є безпосередніми учасниками системи електронних платежів (далі - СЕП) та/або інформаційних задач (далі - організація), які згідно з договором з Національним банком отримали засоби захисту.

ТК - таємний ключ;

1.4. Організації (окрім організацій міста Києва і Київської області) отримують засоби захисту для використання в СЕП та/або інформаційних задачах Національного банку в територіальних управліннях Національного банку за місцем їх знаходження незалежно від моделі обслуговування кореспондентського рахунку в СЕП.

САБ - система автоматизації банку;

Організації міста Києва і Київської області отримують засоби захисту в Центральній розрахунковій палаті Національного банку.

СЕП - система електронних платежів Національного банку;

1.5. Територіальне управління/Центральна розрахункова палата Національного банку надає організаціям засоби захисту, що використовуються в СЕП та/або інформаційних задачах, на підставі договору про використання криптографічних засобів захисту інформації в системі електронних платежів Національного банку України або договору про використання засобів захисту інформації Національного банку України в інформаційних задачах між організацією і територіальним управлінням/Центральною розрахунковою палатою Національного банку за місцезнаходженням організації.

(Абзац шістнадцятий пункту 1.2 глави 1 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Територіальне управління/Центральна розрахункова палата Національного банку та організація укладають між собою договір про використання криптографічних засобів захисту інформації в системі електронних платежів Національного банку України відповідно до зразка договору про використання криптографічних засобів захисту інформації в системі електронних платежів Національного банку України, викладеного в додатку 6 до Інструкції про міжбанківський переказ коштів в Україні в національній валюті, затвердженої постановою Правління Національного банку України від 16.08.2006 N 320, зареєстрованої в Міністерстві юстиції України 06.09.2006 за N 1035/12909.

система захисту інформації Національного банку (далі - система захисту) - сукупність методів і засобів, що включає апаратно-програмні, програмні засоби захисту, ключову інформацію та систему розподілу ключової інформації, технологічні засоби контролю та організаційні заходи;

Територіальне управління/Центральна розрахункова палата Національного банку та організація укладають між собою договір про використання засобів захисту в інформаційних задачах відповідно до зразка договору про використання засобів захисту інформації Національного банку України в інформаційних задачах, викладеного в додатку 1 до цих Правил. Організації, які є безпосередніми учасниками СЕП, не укладають договір про використання засобів захисту в інформаційних задачах, але в цьому випадку територіальне управління/Центральна розрахункова палата Національного банку та організація в акті про приймання-передавання засобів захисту зобов'язані зазначити програмне забезпечення АРМ-НБУ.

(Пункт 1.2 глави 1 доповнено новим терміном згідно з Постановою Національного банку N 439 від 07.07.2015)

1.6. Територіальне управління/Центральна розрахункова палата Національного банку перевіряє виконання правил роботи із засобами захисту в організаціях, які використовують засоби захисту.

СК - смарт-картка;

1.7. Правила поширюються на організації, що мають програмні комплекси АРМ-СЕП та/або АРМ-НБУ і засоби захисту.

сувора автентифікація - ідентифікація кожного користувача за ознакою володіння своїм секретним ключем;

1.8. Правила не встановлюють вимоги щодо технології та безпеки роботи інших платіжних систем, систем автоматизації банківської діяльності й систем "клієнт-банк".

(Пункт 1.2 глави 1 доповнено новим терміном згідно з Постановою Національного банку N 439 від 07.07.2015)

1.9. Організація зобов'язана узгоджувати з територіальним управлінням/Центральною розрахунковою палатою Національного банку ситуації, які можуть виникати під час роботи із засобами захисту і які не передбачені Правилами, у робочому порядку.

ТВК - таблиця відкритих ключів.

1.10. Керівник організації забезпечує виконання вимог щодо захисту інформації в ній.

Інші терміни та скорочення, що вживаються в цих Правилах, використовуються в значеннях, визначених Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року N 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за N 1035/12909 (зі змінами).

Глава 2. Принципи побудови системи захисту

(Пункт 1.2 глави 1 доповнено новим абзацом згідно з Постановою Національного банку N 439 від 07.07.2015)

2.1. Система захисту електронних банківських документів Національного банку складається з комплексу апаратно-програмних засобів захисту інформації та ключової інформації до них, а також технологічних й організаційних заходів.

2.2. Система захисту електронних банківських документів охоплює всі етапи розроблення, упровадження й експлуатації програмно-технічного забезпечення СЕП та інформаційних задач автоматизації банківської діяльності. Ця система визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

1.4. Організації отримують засоби захисту для використання в СЕП незалежно від моделі обслуговування консолідованого кореспондентського рахунку в СЕП та/або інформаційних задачах Національного банку та вирішують усі поточні питання роботи із засобами захисту інформації Національного банку в регіональних підрозділах Департаменту інформаційної безпеки за місцем їх розташування.

2.3. Службові особи організації, які відповідають за захист електронних банківських документів, зобов'язані надавати письмові або усні відомості про стан засобів захисту та їх використання, а також про стан захисту інформації в програмному забезпеченні САБ (у тому числі системи "клієнт-банк", а також інших систем, на які поширюються вимоги Національного банку щодо інформаційної безпеки), технологію оброблення електронних банківських документів в організації та систему захисту інформації під час їх оброблення на вимогу територіального управління/Центральної розрахункової палати Національного банку.

(Пункт 1.4 глави 1 в редакції Постанови Національного банку N 439 від 07.07.2015)

2.4. Організація, яка отримала засоби захисту, не має права передавати їх іншим організаціям або особам, у тому числі й іншим організаціям однієї юридичної особи.

1.5. Регіональний підрозділ Департаменту інформаційної безпеки надає організаціям засоби захисту, що використовуються в СЕП та/або інформаційних задачах, на підставі договору про використання засобів захисту інформації в системі електронних платежів Національного банку України або договору про використання засобів захисту інформації Національного банку України в інформаційних задачах між організацією та Департаментом інформаційної безпеки.

2.5. Організація, яка отримала засоби захисту, не має права використовувати їх в інших платіжних системах банків, у територіально відокремлених відділеннях (філіях) банків, якщо ці відділення (філії) не є безпосередніми учасниками СЕП та/або інформаційних задач, зокрема, якщо їх працівники працюють у САБ банку (філії), системах "клієнт-банк" тощо.

Департамент інформаційної безпеки через свої регіональні підрозділи та організація укладають між собою вищезазначені договори відповідно до зразків, викладених у додатках 1 і 13 до цих Правил.

2.6. Організація зобов'язана повідомляти територіальне управління/Центральну розрахункову палату Національного банку про порушення роботи із засобами захисту протягом одного робочого дня. Орієнтовний перелік порушень в організації роботи із засобами захисту інформації Національного банку України наведено в додатку 2.

Організації, які є безпосередніми учасниками СЕП, не укладають договір про використання засобів захисту в інформаційних задачах, але в цьому випадку регіональний підрозділ Департаменту інформаційної безпеки надає організації програмне забезпечення АРМ-НБУ із супровідним листом, один примірник якого зберігається в регіональному підрозділі Департаменту інформаційної безпеки Національного банку, другий - у справі N 1 адміністратора захисту інформації організації.

Глава 3. Режимні вимоги до приміщень

(Пункт 1.5 глави 1 в редакції Постанови Національного банку N 439 від 07.07.2015)

3.1. Організація, яка використовує засоби захисту, зобов'язана мати приміщення, у яких обробляються електронні банківські документи, використовуються та зберігаються в неробочий час засоби захисту, які відповідають вимогам цієї глави.

1.6. Регіональний підрозділ Департаменту інформаційної безпеки перевіряє виконання правил роботи із засобами захисту в організаціях, які використовують засоби захисту.

3.2. Організація зобов'язана розмістити АРМ СЕП у спеціально виділеному для цього приміщенні з обмеженим доступом, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або системою доступу, яка забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному електронному журналі.

1.7. Правила поширюються на організації, що мають програмні комплекси АРМ-СЕП та/або АРМ-НБУ і засоби захисту.

Організація має право розміщувати АРМ НБУ в приміщенні з АРМ СЕП або в окремому приміщенні з обмеженим доступом, за винятком приміщення адміністратора захисту інформації, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або системою доступу, яка забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному електронному журналі.

Організація має право розміщувати АРМ-СЕП та АРМ-НБУ на одній ПЕОМ.

1.9. Організація зобов'язана узгоджувати з регіональним підрозділом Департаменту інформаційної безпеки ситуації, які можуть виникати під час роботи із засобами захисту і які не передбачені Правилами, у робочому порядку.

Організація має право розміщувати ПЕОМ з АРМ-СЕП та АРМ-НБУ в серверному приміщенні, якщо цей програмно-апаратний комплекс працює в автоматичному режимі. У цьому разі адміністратор АРМ-СЕП зобов'язаний реагувати на інформаційні повідомлення, які надсилаються на АРМ-СЕП.

1.10. Керівник організації забезпечує виконання вимог щодо захисту інформації в ній.

3.3. Організація зобов'язана оснастити вікно (вікна) у приміщенні АРМ-СЕП ґратами, якщо воно:

Глава 2. Принципи побудови системи захисту

внутрішнє і виходить в інше приміщення або коридор організації;

2.1. Система захисту охоплює всі етапи розроблення, впровадження та експлуатації програмно-технічних комплексів СЕП та інформаційних задач і визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

зовнішнє і розташовується на першому чи останньому поверсі організації;

(Пункт 2.1 глави 2 в редакції Постанови Національного банку N 439 від 07.07.2015)

зовнішнє і розташовується на інших поверхах організації, до яких є доступ з прилеглих об'єктів.

2.2. Система захисту разом з програмно-технічними комплексами забезпечує:

3.4. Організація зобов'язана обладнати приміщення з АРМ-СЕП/АРМ-НБУ системою охоронної сигналізації з двома рубежами захисту:

захист від несанкціонованої модифікації та несанкціонованого ознайомлення зі змістом електронних банківських документів на будь-якому етапі їх оброблення;

перший - установлення сигналізації по периметру;

автоматичне ведення захищеного від несанкціонованої модифікації протоколу оброблення електронних банківських документів з метою визначення причин появи порушень роботи програмно-технічних комплексів;

другий - установлення відповідного обладнання для стеження за переміщенням об'єктів у приміщенні.

захист від втручання працівників організацій і Національного банку у зміст електронних банківських документів після їх формування та захист від несанкціонованого втручання в їх оброблення;

3.5. Організація зобов'язана встановити в приміщенні з АРМ-СЕП/АРМ-НБУ сейфи (металеві шафи), призначені для зберігання в неробочий час засобів захисту і документів до них.

автоматичний контроль на кожному етапі оброблення електронних банківських документів.

3.6. Адміністратор захисту інформації зобов'язаний обліковувати ключі від сейфів (металевих шаф) і печатки для їх опечатування в журналі обліку адміністратора захисту інформації (розділи 5 і 6 додатка 3).

(Пункт 2.2 глави 2 в редакції Постанови Національного банку N 439 від 07.07.2015)

3.7. Адміністратор АРМ-СЕП/АРМ-НБУ, який заступив на зміну, зобов'язаний:

2.3. Службові особи організації, які відповідають за захист електронних банківських документів, зобов'язані надавати письмові або усні відомості про стан засобів захисту та їх використання, а також про стан захисту інформації в програмному забезпеченні САБ (у тому числі системи "клієнт-банк", а також інших систем, на які поширюються вимоги Національного банку щодо інформаційної безпеки), технологію оброблення електронних банківських документів в організації та систему захисту інформації під час їх оброблення на вимогу Департаменту інформаційної безпеки або його регіональних підрозділів.

зберігати ключі від вхідних дверей приміщення з АРМ-СЕП/АРМ-НБУ і сейфів (металевих шаф) у робочий час;

(Пункт 2.3 глави 2 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

замикати або блокувати системою доступу приміщення з АРМ-СЕП/АРМ-НБУ у разі своєї відсутності.

3.8. Адміністратор АРМ-СЕП/АРМ-НБУ має право зберігати ключі від сейфів (металевих шаф) адміністратора АРМ-СЕП/АРМ-НБУ в опечатаному вигляді в приміщенні з АРМ-СЕП/АРМ-НБУ.

3.9. Організація зобов'язана призначати працівників, які мають допуск до приміщення з АРМ-СЕП/АРМ-НБУ, розпорядчим документом, у якому повинні зазначатися всі відповідальні особи і засоби захисту, які вони використовують.

2.6. Організація зобов'язана повідомляти регіональний підрозділ Департаменту інформаційної безпеки про порушення роботи із засобами захисту протягом одного робочого дня. Орієнтований перелік порушень в організації роботи із засобами захисту інформації Національного банку України наведено в додатку 2.

Адміністратор захисту інформації обліковує призначених осіб у журналі обліку адміністратора захисту інформації (розділ 4 додатка 3).

Глава 3. Режимні вимоги до приміщень

3.10. Право допуску до приміщення з АРМ-СЕП/АРМ-НБУ мають:

керівник організації (або особа, яка виконує його обов'язки);

3.2. Організація зобов'язана розмістити АРМ-СЕП у спеціально виділеному для цього приміщенні з обмеженим доступом, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або системою доступу, яка забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному електронному журналі.

заступник керівника організації, який призначений відповідальним за організацію захисту електронної банківської інформації;

Організація має право розміщувати АРМ-НБУ в приміщенні з АРМ-СЕП або в окремому приміщенні з обмеженим доступом, за винятком приміщення адміністратора захисту інформації, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або системою доступу, яка забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному електронному журналі.

адміністратори АРМ-СЕП/АРМ-НБУ;

Організація має право розміщувати АРМ-СЕП та АРМ-НБУ на одній ПЕОМ.

адміністратори захисту інформації;

інші працівники організації, які обслуговують приміщення й АРМ-СЕП/АРМ-НБУ.

3.3. Організація зобов'язана оснастити вікно (вікна) у приміщенні АРМ-СЕП ґратами, якщо воно:

3.11. Працівники служби захисту інформації організації (якщо вони не призначені розпорядчим документом організації як відповідальні особи за роботу із засобами захисту) мають право доступу до приміщення з АРМ-СЕП/АРМ-НБУ лише для вирішення питань, що належать до їх компетенції.

внутрішнє і виходить в інше приміщення або коридор організації;

3.12. Працівники організації, які мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ, зобов'язані перебувати в приміщенні з АРМ-СЕП/АРМ-НБУ тільки під час виконання своїх обов'язків, що пов'язані з роботою АРМ-СЕП/АРМ-НБУ, і лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ, який заступив на зміну.

зовнішнє і розташовується на першому чи останньому поверсі організації;

Працівники організації мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ на підставі усного розпорядження керівника організації (або особи, яка виконує його обов'язки) лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ для вирішення окремих питань.

зовнішнє і розташовується на інших поверхах організації, до яких є доступ з прилеглих об'єктів.

3.13. Організація зобов'язана розміщувати АРМ-СЕП та АРМ бухгалтера САБ в окремих приміщеннях з обмеженим доступом.

3.14. Організація подає до територіального управління/Центральної розрахункової палати Національного банку заяву про проведення перевірки виконання режимних вимог до приміщень перед отриманням засобів захисту.

перший - установлення сигналізації по периметру;

3.15. Організація зобов'язана повідомляти територіальне управління/Центральну розрахункову палату Національного банку, яке надало/яка надала засоби захисту, про зміну свого місцезнаходження та місця розташування АРМ-СЕП протягом трьох робочих днів з часу настання цих змін.

другий - установлення відповідного обладнання для стеження за переміщенням об'єктів у приміщенні.

Територіальне управління/Центральна розрахункова палата Національного банку зобов'язане/зобов'язана організувати перевірку виконання режимних вимог до приміщень протягом трьох робочих днів з дня надходження цього повідомлення зі складанням відповідного акта.

3.16. Організація зобов'язана розмістити робоче місце адміністратора захисту інформації в окремому приміщенні з обмеженим доступом та обладнати його сейфом для зберігання засобів захисту, справ і журналу обліку адміністратора захисту інформації тощо. Це приміщення повинно обладнуватися системою охоронної сигналізації з одним рубежем захисту та в неробочий час опечатуватися.

3.17. Організація зобов'язана обладнати робоче місце адміністратора захисту інформації ПЕОМ, яка не підключена до локальної мережі організації, для копіювання ПМГК і генерування ключів відповідальними особами.

3.7. Адміністратор АРМ-СЕП/АРМ-НБУ, який заступив на зміну, зобов'язаний:

3.18. Організація зобов'язана розмістити інші робочі місця САБ, на яких використовуються засоби захисту, у приміщеннях з обмеженим доступом, які обладнані сейфом оператора робочого місця для зберігання ТК.

зберігати ключі від вхідних дверей приміщення з АРМ-СЕП/АРМ-НБУ і сейфів (металевих шаф) у робочий час;

3.19. Організація має право розміщувати АРМ бухгалтера САБ у будь-якому приміщенні організації з обмеженим доступом, за винятком кімнати з АРМ-СЕП і приміщення адміністратора захисту інформації.

замикати або блокувати системою доступу приміщення з АРМ-СЕП/АРМ-НБУ у разі своєї відсутності.

3.20. Організація зобов'язана обладнати сейфи, які використовуються для зберігання засобів захисту, місцем для опечатування.

Сейф з кодовим замком також має обладнуватися місцем для опечатування, що дасть змогу виявляти спроби його несанкціонованого відкривання.

3.21. Організація зобов'язана забезпечити надійне кріплення сейфа для зберігання засобів захисту, який має вагу менше ніж 100 кг і хоча б один з габаритів якого менший, ніж 500 мм, до підлоги, стіни тощо.

3.22. Організація має право використовувати багатосекційний сейф для зберігання засобів захисту за умови, що секція має дверцята з індивідуальним замком і місцем для опечатування.

3.10. Право допуску до приміщення з АРМ-СЕП/АРМ-НБУ мають:

3.23. Організація має право використовувати секції металевих шаф, які обладнані двома замками, для зберігання ТК. Відповідальна особа зберігає ключ від одного замка, адміністратор захисту інформації - від другого.

керівник організації (або особа, яка виконує його обов'язки);

3.24. Адміністратор захисту інформації зобов'язаний обліковувати ключі від сейфів (металевих шаф), у яких зберігаються засоби захисту, у журналі обліку адміністратора захисту інформації (розділ 5 додатка 3).

3.25. Організація зобов'язана здійснити заміну відповідного замка або сейфа і провести службове розслідування в разі втрати ключів від сейфів (металевих шаф), у яких зберігаються засоби захисту.

адміністратори АРМ-СЕП/АРМ-НБУ;

Адміністратор захисту інформації зобов'язаний зберігати матеріали розслідування у справах адміністратора захисту інформації.

адміністратори захисту інформації;

3.26. Керівник організації відповідає за виконання режимних вимог до приміщень.

інші працівники організації, які обслуговують приміщення й АРМ-СЕП/АРМ-НБУ.

Глава 4. Принципи побудови криптографічного
захисту інформації

4.1. Система захисту інформації Національного банку створена для забезпечення конфіденційності та цілісності електронної інформації, а також суворої автентифікації учасників СЕП, учасників інформаційних задач і фахівців організацій, які беруть участь у підготовці й обробленні електронних документів.

4.2. У засобах захисту інформації для СЕП та інших інформаційних задачах використовуються механізми суворої автентифікації та формування/перевірки ЕЦП на базі несиметричного алгоритму RSA. Організація отримує від територіального управління/Центральної розрахункової палати Національного банку персональний ПМГК із убудованим ідентифікатором цієї організації для забезпечення роботи цього алгоритму.

4.3. АРМ-СЕП/АРМ-НБУ забезпечує конфіденційність електронних банківських документів, що містять конфіденційну інформацію, за допомогою апаратного/програмного шифрування всіх файлів/пакетів, які обробляються.

АРМ-СЕП і АРМ-НБУ є єдиними програмно-апаратними комплексами, які забезпечують обмін електронною інформацією в СЕП та інформаційних задачах.

3.14. Організація подає до регіонального підрозділу Департаменту інформаційної безпеки заяву про проведення перевірки виконання режимних вимог до приміщень перед отриманням засобів захисту.

Організація зобов'язана виконувати системні вимоги до ПЕОМ та інструкції щодо налаштування комплексів АРМ-СЕП і АРМ-НБУ.

3.15. Організація зобов'язана повідомляти регіональний підрозділ Департаменту інформаційної безпеки, який надав засоби захисту, про зміну свого місцезнаходження та місця розташування АРМ-СЕП/АРМ-НБУ протягом трьох робочих днів з часу настання цих змін.

4.4. АРМ-СЕП уключає вбудовані засоби захисту, що забезпечують конфіденційність і цілісність інформації під час її пересилання каналами зв'язку. Убудовані засоби захисту інформації забезпечують два режими роботи АРМ-СЕП - з використанням апаратних і програмних засобів захисту.

(Абзац перший пункту 3.15 глави 3 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

4.5. АРМ-НБУ включає вбудовані програмні засоби захисту, які забезпечують програмне шифрування.

Департамент інформаційної безпеки зобов'язаний організувати перевірку виконання режимних вимог до приміщень протягом п'яти робочих днів із дня надходження цього повідомлення зі складанням відповідної довідки.

4.6. Використання стандартизованих криптографічних алгоритмів у вбудованих засобах захисту гарантує задану криптостійкість. Криптографічні алгоритми не становлять таємниці. Криптостійкість засобів захисту забезпечується криптостійкістю алгоритмів та ключової інформації і ключів, тому інформація про це належить до інформації з обмеженим доступом, яка має гриф "Банківська таємниця" і розголошенню не підлягає.

(Абзац другий пункту 3.15 глави 3 в редакції Постанови Національного банку N 439 від 07.07.2015)

4.7. Національний банк виконує побудову ключової системи криптографічного захисту. Ця система складається з ключів програмних засобів захисту, що генеруються в організаціях за допомогою наданих ПМГК, і ключів апаратних засобів захисту, які генеруються безпосередньо за допомогою АРМ-СЕП.

4.8. Організація, яка використовує засоби захисту, зобов'язана виконувати організаційні вимоги щодо їх отримання, використання та зберігання і своєчасної заміни відповідних ключів до них.

Територіальне управління/Центральна розрахункова палата Національного банку має право вилучати з організації засоби захисту в разі невиконання вимог щодо використання та зберігання засобів захисту і режимних вимог до приміщень.

4.9. Організація забезпечує захист електронних документів за допомогою таких засобів захисту:

а) апаратні засоби захисту для СЕП:

АКЗІ;

СК;

програмне забезпечення керування АКЗІ (убудоване в АРМ-СЕП і не може бути вилучене);

б) програмні засоби захисту для СЕП та інформаційних задач:

програмний модуль для шифрування (убудований в АРМ-СЕП та АРМ-НБУ);

ПМГК (з відповідними незаповненими ТВК);

бібліотеки накладання/перевірки ЕЦП (Національний банк надає безкоштовно всім організаціям, які використовують засоби захисту, для вбудовування в програмне забезпечення САБ або інше відповідне програмне забезпечення).

4.10. Основними засобами захисту в АРМ-СЕП є АКЗІ.

3.26. Керівник організації відповідає за виконання режимних вимог до приміщень.

Адміністратор АРМ-СЕП зобов'язаний здійснити перехід до роботи з програмними засобами захисту в разі виходу з ладу АКЗІ.

Глава 4. Принципи побудови криптографічного захисту інформації

4.11. Територіальне управління/Центральна розрахункова палата Національного банку надає організації АКЗІ разом із СК та/або ПМГК відповідно до встановленого порядку (глава 5 цих Правил).

4.12. Вимоги глави 6 цих Правил "Порядок роботи з апаратними засобами захисту" не стосуються організацій, які не беруть безпосередньої участі в СЕП.

Для здійснення суворої автентифікації організації застосовується система ідентифікації користувачів, яка є основою системи розподілу ключової інформації.

4.13. Адміністратор захисту інформації організації здійснює зняття копії з ПМГК, а також знищення копії ПМГК. Знищення виконується методом, що унеможливлює її відновлення (наприклад, за допомогою подвійного переформатування дискети).

Організація для забезпечення захисту інформації має трибайтний унікальний ідентифікатор, перший знак якого є літерою відповідної території, на якій він розташований, другий і третій є унікальними ідентифікаторами організації у межах цієї території.

4.14. ПМГК генерує пару ключів одночасно, яка складається з ТК і ВК.

Трибайтний ідентифікатор має бути узгоджений з адресою системи ЕП і бути унікальним для кожної організації. Трибайтний ідентифікатор організації записується в ПМГК та АКЗІ, який надається організації та не може бути нею змінений, що забезпечує захист від підроблення ключової інформації від імені іншої організації.

4.15. Територіальне управління/Центральна розрахункова палата Національного банку перевіряє порядок їх зберігання та використання.

Трибайтний ідентифікатор організації є складовою частиною ідентифікатора ключа криптографічного захисту, що складається із шести символів, з яких перші три є ідентифікаторами організації, четвертий визначає тип робочого місця учасника СЕП (операціоніст, бухгалтер тощо) або тип інформаційної задачі, п'ятий і шостий - ідентифікатор робочого місця або відповідальної особи.

4.16. В організації використовуються такі засоби захисту:

(Пункт 4.1 глави 4 в редакції Постанови Національного банку N 439 від 07.07.2015)

------------------------------------------------------------------
|N з/п | Найменування засобів захисту | Кількість |
|------+-------------------------------------+-------------------|
| 1 | 2 | 3 |
|------+-------------------------------------+-------------------|
| 1 |АКЗІ | 1 |
|------+-------------------------------------+-------------------|
| 2 |СК | 2 |
|------+-------------------------------------+-------------------|
| 3 |ПМГК | 1 |
|------+-------------------------------------+-------------------|
| 4 |Копія ПМКГ | 1 |
|------+-------------------------------------+-------------------|
| 5 |ТК АРМ-СЕП | 1 |
|------+-------------------------------------+-------------------|
| 6 |ТК АРМ-НБУ | 1 |
|------+-------------------------------------+-------------------|
| 7 |ТК АРМ бухгалтера САБ |За кількістю |
| | |відповідальних |
| | |осіб, але не |
| | |більше 5 |
|------+-------------------------------------+-------------------|
| 8 |ТК технолога |За кількістю |
| | |відповідальних |
| | |осіб, але не |
| | |більше 5 |
|------+-------------------------------------+-------------------|
| 9 |ТК операціоністів |За кількістю |
| | |відповідальних осіб|
|------+-------------------------------------+-------------------|
| 10 |ТК інших робочих та технологічних |За вказівками |
| |місць для інформаційних задач |Департаменту |
| | |інформатизації |
| | |Національного банку|
------------------------------------------------------------------

4.2. Для забезпечення захисту інформації від модифікації з одночасною суворою автентифікацією та безперервного захисту електронних банківських документів з часу їх формування система захисту СЕП уключає механізми формування (перевірки) ЕЦП на базі несиметричних алгоритмів RSA та ДСТУ 4145-2002.

Примітка. Засоби захисту, які зазначені в рядках 1, 2, 5, 7, 8, 9 таблиці, використовуються лише в організаціях - безпосередніх учасниках СЕП.

(Пункт 4.2 глави 4 в редакції Постанови Національного банку N 439 від 07.07.2015)

4.17. Територіальне управління/Центральна розрахункова палата Національного банку, з яким/якою укладено договір про використання криптографічних засобів захисту інформації в системі електронних платежів/інформаційних задачах Національного банку, вирішує усі питання, які пов'язані з організацією захисту інформації за допомогою засобів захисту.

Територіальне управління/Центральна розрахункова палата Національного банку надає консультації щодо супроводження АРМ-СЕП/АРМ-НБУ, а також технологічного процесу проходження електронних платежів у СЕП та електронних документів в інформаційних задачах.

Глава 5. Порядок отримання засобів захисту

5.1. Відповідальна особа організації зобов'язана прибути до територіального управління/Центральної розрахункової палати Національного банку з документами, які засвідчують особу та надають право на отримання/заміну засобів захисту.

5.2. Документ на отримання/заміну засобів захисту скріплюється відбитком печатки організації.

4.5. АРМ-НБУ включає вбудовані програмні засоби захисту, які забезпечують програмне шифрування.

Територіальне управління/Центральна розрахункова палата Національного банку зберігає цей документ.

5.3. Фінансові, матеріально-технічні та інші служби організації не мають права обліковувати засоби захисту, які отримані, у бухгалтерському обліку та звітності.

5.4. Територіальне управління/Центральна розрахункова палата Національного банку зберігає перший примірник, а організація - другий примірник акта про приймання-передавання засобів захисту інформації Національного банку України (додаток 4), за яким засоби захисту передаються в організацію.

5.5 Адміністратор захисту інформації зобов'язаний після отримання засобів захисту зробити відповідний запис у журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

Регіональний підрозділ Департаменту інформаційної безпеки має право вилучати з організації засоби захисту в разі невиконання вимог щодо використання та зберігання засобів захисту і режимних вимог до приміщень.

Глава 6. Порядок роботи з апаратними
засобами захисту

4.9. Організація забезпечує захист електронних документів за допомогою таких засобів захисту:

6.1. Адміністратор захисту інформації зобов'язаний передати АКЗІ адміністратору АРМ-СЕП, який перебуває на зміні, і зафіксувати це в журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

а) апаратно-програмні засоби захисту для СЕП:

Адміністратор АРМ-СЕП зобов'язаний отримати АКЗІ та зробити відповідний запис у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5).

АКЗІ;

Адміністратор АРМ-СЕП зобов'язаний установити АКЗІ та забезпечити постійне її підключення до ПЕОМ, у якій розташований програмно-апаратний комплекс АРМ-СЕП.

СК;

6.2. Адміністратор АРМ-СЕП, який перебуває на зміні, зобов'язаний перед уведенням АКЗІ в роботу забезпечити виконання всіх вимог до технічних умов експлуатації АКЗІ, які наведені в документації до неї.

програмне забезпечення керування АКЗІ (убудоване в АРМ-СЕП і не може бути вилучене);

6.3. Адміністратор АРМ-СЕП зобов'язаний згенерувати ТК АКЗІ за допомогою програмно-апаратного комплексу АРМ-СЕП для введення АКЗІ в експлуатацію і записати копію ТК АКЗІ АРМ-СЕП на другу (резервну) СК під час генерації ключів.

(Підпункт "а" пункту 4.9 глави 4 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Адміністратор захисту інформації надсилає ВК АКЗІ на сертифікацію до Національного банку.

б) програмні засоби захисту для СЕП та інформаційних задач:

Адміністратор АРМ-СЕП уводить АКЗІ в експлуатацію після отримання сертифіката ВК, автоматичного включення його до ТВК АКЗІ та здійснення відповідних налаштувань АРМ-СЕП.

програмний модуль для шифрування (убудований в АРМ-СЕП та АРМ-НБУ);

6.4. Адміністратори АРМ-СЕП зобов'язані передавати АКЗІ між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5), який вони ведуть і зберігають у приміщенні з АРМ-СЕП.

ПМГК (з відповідними незаповненими ТВК);

6.5. Адміністратор АРМ-СЕП зобов'язаний здійснити заміну АКЗІ разом із СК у разі її виходу з ладу або на вимогу територіального управління/Центральної розрахункової палати Національного банку.

6.6. Адміністратор захисту інформації організації в разі виходу АКЗІ з ладу в процесі експлуатації зобов'язаний:

4.10. Основними засобами в АРМ-СЕП є АКЗІ.

а) повідомити засобами електронної пошти територіальне управління/Центральну розрахункову палату Національного банку (поштова скринька v32rpal) про перехід на резервні програмні засоби захисту;

Генерація ключової пари (ТК та ВК) для АКЗІ відповідно до алгоритму ДСТУ 4145-2002 здійснюється на комп'ютері, де розміщується АРМ-СЕП, за допомогою програмного забезпечення керування АКЗІ, що вбудоване в АРМ-СЕП. Для забезпечення безперебійної роботи АРМ-СЕП з апаратурою захисту ТК повинен записуватися на дві смарт-картки (основну та резервну). Ключова інформація під час роботи АКЗІ використовується виключно на рівні смарт-картки, що унеможливлює підроблення та перехоплення ключової інформації.

б) забезпечити переведення АРМ-СЕП на роботу з програмними засобами захисту за допомогою відповідного настроювання АРМ-СЕП за погодженням з територіальним управлінням/Центральною розрахунковою палатою Національного банку;

в) забезпечити продовження роботи АРМ-СЕП у звичайному режимі з використанням програмних засобів захисту;

(Пункт 4.10 глави 4 в редакції Постанови Національного банку N 439 від 07.07.2015)

г) забезпечити доставку до територіального управління/Центральної розрахункової палати Національного банку:

4.11. Регіональний підрозділ Департаменту інформаційної безпеки надає організації АКЗІ разом із СК та/або ПМГК відповідно до встановленого порядку (глава 6 цих Правил).

АКЗІ разом з актом про приймання-передавання засобів захисту інформації Національного банку України (додаток 4), один примірник якого зберігає територіальне управління/Центральна розрахункова палата Національного банку, другий - організація;

4.12. Вимоги глави 7 цих Правил "Порядок роботи з апаратними засобами захисту" не стосуються організацій, які не беруть безпосередньої участі в СЕП.

СК із записом їх номерів в акті про приймання-передавання засобів захисту;

ґ) зробити відмітку про повернення АКЗІ, що виведена з експлуатації, у журналі обліку адміністратора захисту інформації (розділ 2 додатка 4);

4.14. За допомогою ПМГК організація має змогу генерувати ключову пару (ТК та ВК) відповідно до алгоритму RSA для всіх робочих місць, де працюють з електронними банківськими документами. Кожен ТК робочого місця обов'язково має бути захищений особистим паролем відповідальної особи, яка працює з цим ключем.

д) отримати новий комплект АКЗІ разом із СК;

Для забезпечення захисту ключової інформації від несанкціонованої модифікації ВК мають надсилатися до Департаменту інформаційної безпеки для сертифікації (крім ВК для робочих місць операціоністів, що використовуються лише в САБ).

е) повідомити засобами електронної пошти територіальне управління/Центральну розрахункову палату Національного банку (поштові скриньки ZAHIST і v32rpal) про готовність до переходу на апаратні засоби захисту після отримання АКЗІ і генерації ключів АКЗІ. Перехід на апаратні засоби захисту повинен здійснюватися лише на початку банківського дня за погодженням з територіальним управлінням/Центральною розрахунковою палатою Національного банку;

Департамент інформаційної безпеки здійснює сертифікацію ВК та надсилає засобами системи ЕП на адресу організації відповідні сертифікати ВК. Організація зобов'язана вжити заходів щодо своєчасного оновлення ТВК відповідно до експлуатаційної документації для АРМ-СЕП та інформаційних задач.

є) одержати консультацію та узгодити подальші дії з територіальним управлінням/Центральною розрахунковою палатою Національного банку в разі виникнення збоїв у роботі АКЗІ під час відкривання банківського дня (на стадії переходу на роботу з використанням АКЗІ);

(Пункт 4.14 глави 4 в редакції Постанови Національного банку N 439 від 07.07.2015)

ж) провести відповідне службове розслідування в разі пошкодження АКЗІ та СК, копію матеріалів якого подати до територіального управління/Центральної розрахункової палати Національного банку.

4.15. Регіональний підрозділ Департаменту інформаційної безпеки перевіряє порядок зберігання та використання ПМГК.

6.7. Адміністратор захисту інформації в разі втрати АКЗІ або СК зобов'язаний:

(Пункт 4.15 глави 4 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

а) ужити заходів, що передбачені пунктом 6.6 цієї глави;

4.16. В організації використовуються такі засоби захисту:

б) провести відповідне службове розслідування, копію матеріалів якого подати до територіального управління/Центральної розрахункової палати Національного банку.

N з/п Найменування засобів захисту Кількість

1 2 3

1 АКЗІ 1

2 СК 2

3 ПМГК 1

4 Копія ПМКГ 1

5 ТК АРМ-СЕП 1

6 ТК АРМ-НБУ 1

7 ТК АРМ бухгалтера САБ За кількістю відповідальних осіб, але не більше 5

8 ТК технолога За кількістю відповідальних осіб, але не більше 5

9 ТК операціоністів За кількістю відповідальних осіб

10 ТК інших робочих та технологічних місць для інформаційних задач За вказівками Департаменту інформаційних технологій Національного банку

6.8. Адміністратор захисту інформації в разі пошкодження голографічної наклейки на АКЗІ зобов'язаний:

Примітка

а) вивести АКЗІ з експлуатації;

Засоби захисту, які зазначені в рядках 1, 2, 5, 7, 8, 9 таблиці, використовуються лише в організаціях - безпосередніх учасниках СЕП.

б) ужити заходів, що передбачені пунктом 6.6 цієї глави;

(Пункт 4.16 глави 4 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

в) провести відповідне службове розслідування, копію матеріалів якого подати до територіального управління/Центральної розрахункової палати Національного банку.

4.17. Регіональний підрозділ Департаменту інформаційної безпеки, за місцезнаходженням організації, вирішує усі питання, які пов'язані з організацією захисту інформації за допомогою засобів захисту.

6.9. Адміністратор АРМ-СЕП зобов'язаний зберігати СК для АКЗІ у сейфі в неробочий час і в робочий час, якщо вони не використовуються в роботі.

(Абзац перший пункту 4.17 глави 4 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

6.10. Адміністратори АРМ-СЕП зобов'язані передавати СК між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5), який вони ведуть і зберігають у приміщенні з АРМ-СЕП.

Регіональний підрозділ Департаменту інформаційної безпеки надає консультації щодо супроводження АРМ-СЕП/АРМ-НБУ, а також технологічного процесу проходження електронних платежів у СЕП та електронних документів в інформаційних задачах.

6.11. Адміністратор АРМ-СЕП зобов'язаний перейти на роботу з резервною СК у разі виходу з ладу СК і звернутися до територіального управління/Центральної розрахункової палати Національного банку для її заміни.

Глава 5. Особливості захисту інформації в СЕП

Адміністратор АРМ-СЕП зобов'язаний вивести АКЗІ з експлуатації в разі виходу з ладу й резервної СК, а адміністратор захисту інформації - ужити заходів, передбачених у пункті 6.6 цієї глави.

5.1. Для підвищення ступеня захисту електронних банківських документів у СЕП використовується технологічний контроль, який реалізовується програмно-технічними комплексами на всіх рівнях їх оброблення, що дає змогу контролювати здійснення розрахунків протягом банківського дня, а також виконувати їх звірку в кінці банківського дня.

6.12. Адміністратор АРМ-СЕП зобов'язаний здійснювати своєчасну генерацію ключа АКЗІ у зв'язку із закінченням строку його дії.

Технологічні засоби контролю включають:

Глава 7. Порядок роботи з ПМГК

механізм обміну електронними підтвердженнями, який дає змогу однозначно ідентифікувати отримання адресатом будь-якого файла або пакета електронних банківських документів у СЕП;

7.1. Адміністратор захисту інформації після отримання ПМГК зобов'язаний:

механізм інформування банку - учасника СЕП щодо поточного стану його кореспондентського рахунку за підсумками циклів оброблення платежів у ЦОСЕП, щодо поточного стану його технічного рахунку;

а) зняти копію ПМГК за допомогою засобів, які є на дискеті з ПМГК;

взаємообмін між банком і ЦОСЕП технологічною інформацією за підсумками банківського дня з переліком відображених за технічним рахунком міжбанківських електронних розрахункових документів, що оброблені засобами СЕП у файловому режимі та режимі реального часу, що дає змогу здійснювати їх програмне звіряння як у ЦОСЕП, так і в банку;

б) зареєструвати ПМГК і його копію в журналі обліку адміністратора захисту інформації (розділи 2, 7 додатка 3);

засоби самодіагностики, які дають змогу виявляти порушення цілісності баз даних програмного забезпечення ЦОСЕП, псування яких може виникнути внаслідок порушень функціонування СЕП, спроб несанкціонованого доступу або фізичного псування баз даних;

в) здійснити перевірку ПМГК та його копії шляхом пробної генерації ключів;

механізм резервування та відновлення з процедурами контролю цілісності та актуальності інформації під час відновлення роботи ЦОСЕП;

г) забезпечити генерацію ключів для всіх робочих місць в організації, у якій використовуються засоби захисту.

технологічну інформацію ЦОСЕП про стан технічних рахунків і функціонування СЕП за підсумками банківського дня.

7.2. Адміністратор захисту інформації в разі негативних результатів перевірки зобов'язаний:

Технологічні засоби контролю, вбудовані в програмно-технічні комплекси СЕП, не можуть бути відключені. У разі виникнення нестандартної ситуації або підозри щодо несанкціонованого доступу ЦОСЕП автоматично формує повідомлення для оперативного реагування адміністратором ЦОСЕП.

а) повідомити про це електронною поштою територіальне управління/Центральну розрахункову палату Національного банку протягом одного робочого дня і діяти відповідно до їх рекомендацій;

5.2. Основним засобом шифрування файлів (пакетів) СЕП є АКЗІ. Робота АКЗІ контролюється вбудованими в ЦОСЕП і АРМ-СЕП програмними засобами захисту інформації і забезпечує апаратне шифрування (розшифрування) інформації за стандартом ДСТУ ГОСТ 28147:2009.

б) повернути до територіального управління/Центральної розрахункової палати Національного банку ПМГК разом з актом про приймання-передавання засобів захисту інформації Національного банку України (додаток 4). В акті повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення ПМГК. Територіальне управління/Центральна розрахункова палата Національного банку зберігає перший примірник цього акта, організація - другий;

Як резервний засіб шифрування в СЕП використовується вбудована в ЦОСЕП і АРМ-СЕП функція програмного шифрування. Для кожного файла (пакета) СЕП, що обробляється АРМ-СЕП, генерується одноразовий ключ шифрування для алгоритму ДСТУ ГОСТ 28147:2009, який обробляється відповідно до стандарту ISO 11166-94 і додається до повідомлення в зашифрованому вигляді.

в) зареєструвати ПМГК, що не пройшов перевірки, у журналі обліку адміністратора захисту інформації (додаток 3) з відповідним записом про його повернення до територіального управління/Центральної розрахункової палати Національного банку;

Засоби шифрування ЦОСЕП і АРМ-СЕП (як АКЗІ, так і програмне шифрування) забезпечують сувору автентифікацію відправника та отримувача електронного банківського документа, цілісність кожного документа в результаті неможливості його підроблення або несанкціонованого модифікування в шифрованому вигляді та унеможливлюють виконання розшифрування повідомлення будь-ким, крім його дійсного отримувача.

г) знищити копію ПМГК, що не пройшов перевірки.

АРМ-СЕП і ЦОСЕП у режимі реального часу забезпечують додаткову сувору взаємну автентифікацію під час установлення сеансу зв'язку.

7.3. Адміністратори захисту інформації зобов'язані передавати ПМГК і його робочу копію між собою з фіксуванням у журналі обліку адміністратора захисту інформації (розділ 7 додатка 3).

Під час роботи АРМ-СЕП створює шифровані архіви оброблених електронних банківських документів та захищений від модифікації протокол роботи АРМ-СЕП, у якому фіксуються всі дії, що ним виконуються, із зазначенням дати та часу оброблення електронних банківських документів. Наприкінці банківського дня шифровані архіви та протокол роботи АРМ-СЕП підлягають збереженню в архіві. Розшифрування інформації, що зберігається в архіві, здійснюється лише шляхом застосування ключа, який зберігається в Національному банку.

7.4. Адміністратор захисту інформації зобов'язаний зберігати ПМГК і його робочу копію в неробочий час і в робочий час, якщо він не використовується в роботі, у сейфі. Адміністратор захисту інформації зобов'язаний замкнути й опечатати сейф відбитком особистої печатки.

5.3. Департамент інформаційної безпеки надає банкам (філіям) інформаційні послуги щодо достовірності інформації за електронними банківськими документами у разі виникнення спорів.

7.5. Організація зобов'язана повернути ПМГК до територіального управління/Центральної розрахункової палати Національного банку разом з актом про приймання-передавання засобів захисту інформації Національного банку України (додаток 4) після завершення строку використання (Національний банк встановлює дату). У цьому акті повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення. Територіальне управління/Центральна розрахункова палата Національного банку зберігає перший примірник цього акта, організація - другий.

Департамент інформаційної безпеки розшифровує копію шифрованого архіву учасника СЕП за його наявності та з абсолютною достовірністю визначає:

Організація зобов'язана знищити робочу копію ПМГК (якщо немає інших вимог Національного банку) на місці методом, який унеможливлює її відновлення (наприклад, шляхом подвійного переформатування дискети), і скласти акт про знищення засобів захисту інформації Національного банку України (додаток 6). Територіальне управління/Центральна розрахункова палата Національного банку зберігає перший примірник цього акта, організація - другий.

ідентифікатор банку - учасника СЕП, який надіслав (зашифрував) електронний банківський документ;

Адміністратор захисту інформації зобов'язаний зробити відповідний запис про повернення ПМГК до територіального управління/Центральної розрахункової палати Національного банку та знищення його копії в організації із зазначенням номерів і дат відповідних актів у журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

ідентифікатор банку - учасника СЕП, якому адресовано електронний банківський документ;

7.6. Адміністратор захисту інформації в разі псування ГМД з копією ПМГК до завершення строку його використання зобов'язаний:

дату, годину та хвилину виконання шифрування електронного банківського документа;

а) зняти копію ПМГК повторно;

дату, годину та хвилину розшифрування електронного банківського документа;

б) унести відповідну інформацію до журналу обліку адміністратора захисту інформації (розділ 2 додатка 3);

відповідність усіх електронних цифрових підписів, якими був захищений від модифікації електронний банківський документ.

в) повідомити територіальне управління/Центральну розрахункову палату Національного банку про заміну копії ПМГК і нові номери сеансів генерації ключів, які надаватимуться цією копією ПМГК під час наступних сеансів генерації ключів.

Під час використання АКЗІ додатково визначаються:

7.7. Адміністратор захисту інформації в разі втрати ПМГК (та/або його копії) або втрати контролю за місцезнаходженням ПМГК та/або його копії зобов'язаний:

номер апаратури захисту, на якій виконувалося шифрування або розшифрування електронного банківського документа;

а) проінформувати про це електронною поштою територіальне управління/Центральну розрахункову палату Національного банку і замовити новий ПМГК (додаток 7);

номер смарт-картки, якою користувалися під час шифрування або розшифрування електронного банківського документа.

б) не проводити генерації ключів до отримання нового ПМГК;

Департамент інформаційної безпеки надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо учасники СЕП:

в) провести службове розслідування, копію матеріалів якого подати до територіального управління/Центральної розрахункової палати Національного банку;

кожного робочого дня формують і надійно зберігають архіви роботи АРМ-СЕП, до яких мають входити журнали програмного та апаратного шифрування та захищені від модифікації протоколи роботи АРМ-СЕП;

г) отримати новий ПМГК відповідно до встановленого порядку і надалі вживати заходів, що передбачені в пунктах 7.1-7.6 цієї глави (діючі ТК мають право використовуватися до закінчення строку їх дії).

подають копії архівів АРМ-СЕП за відповідний банківський день.

7.8. Організація зобов'язана здійснити заміну ПМГК відповідно до пункту 7.7 цієї глави, не припиняючи роботу в СЕП та/або в інформаційних задачах, якщо адміністратор захисту інформації, який безпосередньо працював з ПМГК, звільняється з організації або переходить у цій самій організації на роботу до іншого підрозділу.

Департамент інформаційної безпеки надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо між учасниками СЕП виникли спори з питань, пов'язаних з електронними банківськими документами, у разі:

Відповідальні особи зобов'язані провести генерацію ТК після отримання нового ПМГК для всіх робочих місць організації.

невиконання автентифікації або розшифрування електронного банківського документа;

Службове розслідування в цьому разі не проводиться.

відмови від факту одержання електронного банківського документа;

7.9. Відповідальна особа, яка працюватиме з ключем, зобов'язана генерувати кожен ключ за допомогою ПМГК на робочому місці, яке відповідає вимогам пункту 3.17 глави 3 цих Правил, у присутності адміністратора захисту інформації.

відмови від факту формування та надсилання електронного банківського документа;

Адміністратор захисту інформації зобов'язаний реєструвати всі спроби генерації ключів, у тому числі й невдалі, у журналі обліку адміністратора захисту інформації (розділ 3 додатка 3).

ствердження, що одержувачу надійшов електронний банківський документ, а насправді він не надсилався;

7.10. Відповідальна особа має право під час генерації записати ТК на ГМД, на апаратному носії ключа Touch Memory (далі - Touch Memory) або на іншому носії за погодженням з Національним банком. ВК після їх генерації (ключі операціоністів сертифікації не потребують) підлягають сертифікації в Національному банку.

ствердження, що електронний банківський документ був сформований та надісланий, а він не формувався або було надіслане інше повідомлення;

Відповідальна особа зобов'язана забезпечити внесення сертифікатів ВК, які передані організації Національним банком, до ТВК, які зберігаються на жорсткому диску ПЕОМ, відповідно до технології оброблення інформації.

виникнення спору щодо змісту одного й того самого електронного банківського документа, сформованого та надісланого відправником і одержаного та правильно автентифікованого одержувачем;

7.11. Відповідальна особа має право створити копії ТК (за винятком ТК операціоністів САБ) для запобігання зупиненню роботи організації в СЕП та/або в інформаційних задачах у разі псування ГМД з ТК за умови наявності розпорядчого документа організації про створення копій ТК з обов'язковим визначенням відповідальних за їх зберігання осіб і з фіксуванням цього в журналі генерації ключів.

роботи з архівом учасника СЕП під час проведення ревізій тощо.

7.12. Відповідальна особа зобов'язана знищувати ТК і їх копії в присутності адміністратора захисту інформації методом, який гарантує неможливість їх відновлення.

Департамент інформаційної безпеки надає учасникам СЕП письмові відповіді щодо порушених питань.

Адміністратор захисту інформації зобов'язаний зробити запис про це в журналі обліку адміністратора захисту інформації (розділ 3 додатка 3).

(Правила доповнено новою главою 5 згідно з Постановою Національного банку N 439 від 07.07.2015)

7.13. Відповідальна особа, яка проводить генерацію ключа і надалі працює з ним, зобов'язана встановити індивідуальний пароль для ТК (за необхідності - його копії).

Глава 6. Порядок отримання засобів захисту

7.14. На створені копії ПМГК і ТК поширюються всі вимоги щодо інформаційної безпеки, як і на основні засоби захисту інформації.

6.1. Відповідальна особа організації зобов'язана прибути до регіонального підрозділу Департаменту інформаційної безпеки з документами, які засвідчують особу та надають право на отримання/заміну засобів захисту.

7.15. Заборонено використання копій у разі:

6.2. Документ на отримання/заміну засобів захисту скріплюється відбитком печатки організації.

втрати ПМГК;

Регіональний підрозділ Департаменту інформаційної безпеки зберігає цей документ.

втрати ТК;

6.3. Фінансові, матеріально-технічні та інші служби організації не мають права обліковувати засоби захисту, які отримані, у бухгалтерському обліку та звітності.

виявлення факту зберігання або перебування ТК, ПМГК у сторонніх осіб;

6.4. Регіональний підрозділ Департаменту інформаційної безпеки зберігає один примірник, а організація - другий примірник акта про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 4), за яким АКЗІ разом із смарт-картками передаються в організацію. ПМГК передаються організації згідно із супровідним листом.

втрати контролю за місцезнаходженням ТК, ПМГК або їх копій, унаслідок чого можливе їх несанкціоноване копіювання.

(Пункт 6.4 глави 6 в редакції Постанови Національного банку N 439 від 07.07.2015)

Глава 8. Порядок зберігання та роботи
з ТК програмних засобів захисту

6.5 Адміністратор захисту інформації зобов'язаний після отримання засобів захисту зробити відповідний запис у журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

8.1. У разі використання апаратних носіїв ключової інформації (Touch Memory) зберігання таких носіїв у сейфі в неробочий час є необов'язковим.

Глава 7. Порядок роботи з апаратними засобами захисту

Організація має право використовувати Touch Memory з ТК для розв'язання інших завдань організації (обмеження доступу до комп'ютерів, приміщень тощо).

7.1. Адміністратор захисту інформації зобов'язаний передати АКЗІ адміністратору АРМ-СЕП, який перебуває на зміні, і зафіксувати це в журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

8.2. Відповідальні особи зобов'язані суворо дотримуватися правил використання та зберігання ТК для унеможливлення їх несанкціонованого копіювання в разі використання ГМД як носіїв ТК.

8.3. У разі використання на робочих місцях САБ та/або інформаційних задач, що функціонують в операційному середовищі UNIX із засобами захисту, заборонено використовувати ГМД як носіїв ТК. У такому разі відповідальна особа під час генерації записує ТК на ГМД.

Відповідальна особа, адміністратор захисту інформації або адміністратор САБ забезпечують копіювання цього файла з ТК у захищену директорію, яка доступна для читання тільки з робочого місця саме цієї відповідальної особи, з відповідним записом у журналі обліку адміністратора захисту інформації та обов'язковим підписом особи, яка копіювала ТК у захищену директорію.

7.2. Адміністратор АРМ-СЕП, який перебуває на зміні, зобов'язаний перед уведенням АКЗІ в роботу забезпечити виконання всіх вимог до технічних умов експлуатації АКЗІ, які наведені в документації до неї.

Відповідальна особа зберігає ГМД з ТК у власному сейфі або сейфі адміністратора захисту інформації в запечатаному конверті з підписом відповідальної особи до закінчення строку його дії.

7.3. Адміністратор АРМ-СЕП зобов'язаний згенерувати ТК АКЗІ за допомогою програмно-апаратного комплексу АРМ-СЕП для введення АКЗІ в експлуатацію і записати копію ТК АКЗІ АРМ-СЕП на другу (резервну) СК під час генерації ключів.

Відповідальна особа зобов'язана знищити ТК після закінчення строку його дії.

Адміністратор захисту інформації надсилає ВК АКЗІ на сертифікацію до Національного банку.

8.4. Відповідальна особа зобов'язана зберігати ТК (і за необхідності їх копії) у неробочий час у власному сейфі, який має бути замкнутим і опечатаним відбитком її особистої печатки.

8.5. Адміністратори АРМ-СЕП/АРМ-НБУ зобов'язані передавати ТК АРМ-СЕП/АРМ-НБУ (і за необхідності їх копії) між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5).

7.4. Адміністратори АРМ-СЕП зобов'язані передавати АКЗІ між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5), який вони ведуть і зберігають у приміщенні з АРМ-СЕП.

Запис у журналі не робиться в разі наявності в адміністраторів АРМ-СЕП/АРМ-НБУ відповідних копій ТК.

7.5. Адміністратор АРМ-СЕП зобов'язаний здійснити заміну АКЗІ разом із СК у разі її виходу з ладу або на вимогу регіонального підрозділу Департаменту інформаційної безпеки.

8.6. Адміністратор захисту інформації має право забезпечити зберігання всіх або частини ТК відповідальних осіб у неробочий час у власному сейфі, якщо немає достатньої кількості особистих сейфів.

7.6. Адміністратор захисту інформації організації в разі виходу АКЗІ з ладу в процесі експлуатації зобов'язаний:

Адміністратор захисту інформації зобов'язаний зберігати кожний ТК в окремій упаковці, опечатаній особистою печаткою відповідальної особи, або в окремому запечатаному конверті з особистим підписом відповідальної особи.

а) повідомити засобами електронної пошти Центральну розрахункову палату Національного банку про перехід на резервні програмні засоби захисту;

Адміністратор захисту інформації зобов'язаний видавати ТК відповідальним особам для роботи і приймати їх на зберігання з реєстрацією в журналі обліку адміністратора захисту інформації (розділ 8 додатка 3).

(Підпункт "а" пункту 7.6 глави 7 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Адміністратор захисту інформації зобов'язаний замикати й опечатувати сейф відбитком особистої печатки за наявності в ньому ТК.

б) забезпечити переведення АРМ-СЕП на роботу з програмними засобами захисту за допомогою відповідного настроювання АРМ-СЕП за погодженням з Центральною розрахунковою палатою Національного банку;

8.7. ТК мають обмежений строк дії, що встановлюється під час сертифікації ВК. Для ключів операціоністів, які не підлягають сертифікації, строк дії ключа становить 100 днів.

(Підпункт "б" пункту 7.6 глави 7 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Відповідальна особа зобов'язана здійснювати своєчасну генерацію ТК у зв'язку із закінченням строку його дії.

в) забезпечити продовження роботи АРМ-СЕП у звичайному режимі з використанням програмних засобів захисту;

8.8. Адміністратор захисту інформації організації зобов'язаний вести архів ВК операціоністів для забезпечення можливості перевірки ЕЦП операціоністів протягом усього строку зберігання архівів електронних банківських документів.

г) забезпечити доставку до регіонального підрозділу Департаменту інформаційної безпеки:

Строк зберігання архівів ВК операціоністів відповідає строку зберігання електронних банківських документів.

АКЗІ разом з усіма наявними СК (із записом їх номерів) згідно з актом про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 4), один примірник якого зберігає регіональний підрозділ Департаменту інформаційної безпеки, другий - організація;

8.9. Адміністратор захисту інформації зобов'язаний здійснювати контроль за строком дії ключів, забезпечувати своєчасну їх генерацію відповідальними особами і сертифікацію ВК з метою уникнення невиправданої зупинки роботи організації.

(Абзац другий підпункту "г" пункту 7.6 глави 7 в редакції Постанови Національного банку N 439 від 07.07.2015)

8.10. Відповідальна особа організації зобов'язана знищувати ТК (та їх копії) після закінчення строку дії з відповідним записом у журналі обліку адміністратора захисту інформації (розділ 3 додатка 3).

СК із записом їх номерів в акті про приймання-передавання засобів захисту;

ТК не вносяться до архіву електронних банківських документів.

8.11. Відповідальна особа організації в разі псування ГМД з ТК до завершення строку його дії зобов'язана:

д) отримати новий комплект АКЗІ разом із СК;

а) зняти ще одну копію ТК (у разі її наявності) або здійснити генерацію цього ключа;

е) повідомити засобами електронної пошти Центральну розрахункову палату Національного банку (поштові скриньки ZAHIST і v32rpal) про готовність до переходу на апаратні засоби захисту після отримання АКЗІ і генерації ключів АКЗІ. Перехід на апаратні засоби захисту повинен здійснюватися лише на початку банківського дня за погодженням з Центральною розрахунковою палатою Національного банку;

б) унести відповідні записи до журналу обліку адміністратора захисту інформації (розділ 3 додатка 3).

(Підпункт "е" пункту 7.6 глави 7 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

8.12. Відповідальна особа в разі компрометації ТК зобов'язана:

є) узгодити подальші дії з Центральною розрахунковою палатою Національного банку в разі виникнення збоїв у роботі АКЗІ під час відкривання банківського дня (на стадії переходу на роботу з використанням АКЗІ);

а) припинити використання цього ТК;

(Підпункт "є" пункту 7.6 глави 7 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

б) повідомити електронною поштою територіальне управління/Центральну розрахункову палату Національного банку, якщо це був ТК АРМ-СЕП або АРМ бухгалтера САБ;

ж) провести відповідне службове розслідування в разі пошкодження АКЗІ та СК, копію матеріалів якого подати до регіонального підрозділу Департаменту інформаційної безпеки.

в) забезпечити вилучення відповідного ВК з ТВК (за допомогою ПМГК) у встановленому порядку;

7.7. Адміністратор захисту інформації в разі втрати АКЗІ або СК зобов'язаний:

г) забезпечити генерацію нового ТК і надалі вживати заходів щодо його введення в дію.

а) ужити заходів щодо переведення АРМ-СЕП на роботу з програмними засобами захисту і отримання нового комплекту АКЗІ та СК, що передбачені пунктом 7.6 цієї глави;

8.13. Організація зобов'язана в разі втрати контролю за ТК провести службове розслідування, копії матеріалів якого подати до територіального управління/Центральної розрахункової палати Національного банку.

(Підпункт "а" пункту 7.7 глави 7 в редакції Постанови Національного банку N 439 від 07.07.2015)

8.14. Адміністратор захисту інформації зобов'язаний забезпечити вилучення з роботи відповідних ВК у встановленому порядку, якщо відповідальна особа, яка має ТК для будь-якого робочого місця, звільняється з організації або виконує в цій організації інші функціональні обов'язки.

б) провести відповідне службове розслідування, копію матеріалів якого подати до регіонального підрозділу Департаменту інформаційної безпеки.

8.15. Організація зобов'язана затвердити внутрішній порядок зберігання ТК залежно від конкретних умов її функціонування, забезпечивши дотримання вимог цих Правил.

7.8. Адміністратор захисту інформації в разі пошкодження голографічної наклейки на АКЗІ зобов'язаний:

Глава 9. Призначення відповідальних осіб
за роботу із засобами захисту

а) вивести АКЗІ з експлуатації;

9.1. Організація зобов'язана призначити для роботи із засобами захисту таких відповідальних осіб:

б) ужити заходів, що передбачені пунктом 7.6 цієї глави;

адміністратора захисту інформації;

в) провести відповідне службове розслідування, копію матеріалів якого подати до регіонального підрозділу Департаменту інформаційної безпеки.

адміністратора АРМ-СЕП/АРМ-НБУ;

7.9. Адміністратор АРМ-СЕП зобов'язаний зберігати СК для АКЗІ у сейфі в неробочий час і в робочий час, якщо вони не використовуються в роботі.

оператора АРМ бухгалтера САБ;

7.10. Адміністратори АРМ-СЕП зобов'язані передавати СК між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5), який вони ведуть і зберігають у приміщенні з АРМ-СЕП.

технолога САБ;

7.11. Адміністратор АРМ-СЕП зобов'язаний перейти на роботу з резервною СК у разі виходу з ладу СК і звернутися до регіонального підрозділу Департаменту інформаційної безпеки для її заміни.

операціоніста;

Адміністратор АРМ-СЕП зобов'язаний вивести АКЗІ з експлуатації в разі виходу з ладу й резервної СК, а адміністратор захисту інформації - ужити заходів, передбачених у пункті 7.6 цієї глави.

операторів робочих і технологічних місць САБ та інформаційних задач.

7.12. Адміністратор АРМ-СЕП зобов'язаний здійснювати своєчасну генерацію ключа АКЗІ у зв'язку із закінченням строку його дії.

9.2. Організація подає до територіального управління/Центральної розрахункової палати Національного банку копію наказу про призначення відповідальних за роботу із засобами захисту осіб протягом трьох робочих днів з часу їх призначення.

Глава 8. Порядок роботи з ПМГК

9.3. Адміністратор захисту інформації має право надати дозвіл на роботу на АРМ-СЕП/АРМ-НБУ, робочих і технологічних місцях САБ та інформаційних задач відповідальним за роботу із засобами захисту особам після їх ознайомлення з нормативно-правовими актами Національного банку, іншими документами з питань інформаційної безпеки.

8.1. Адміністратор захисту інформації після отримання ПМГК зобов'язаний:

Адміністратор захисту інформації зобов'язаний ознайомити відповідальних осіб з правилами роботи та зберігання ТК.

а) зняти копію ПМГК за допомогою засобів, які є на дискеті з ПМГК;

Відповідальна особа зобов'язана підписати відповідне зобов'язання (додаток 8).

б) зареєструвати ПМГК і його копію в журналі обліку адміністратора захисту інформації (розділи 2, 7 додатка 3);

9.4. Організація подає до територіального управління/Центральної розрахункової палати Національного банку копію розпорядчого документа про призначення адміністратора захисту інформації протягом трьох робочих днів з часу його призначення.

в) здійснити перевірку ПМГК та його копії шляхом пробної генерації ключів;

Адміністратор захисту інформації зобов'язаний ознайомитися з нормативно-правовими актами Національного банку з питань захисту інформації та підписати зобов'язання адміністратора захисту інформації (додаток 9).

Територіальне управління/Центральна розрахункова палата Національного банку зобов'язане/зобов'язана зробити відмітку про проведення перевірки знання відповідних нормативно-правових актів Національного банку та обов'язків адміністратора захисту інформації і зберігати копію цього зобов'язання.

8.2. Адміністратор захисту інформації в разі негативних результатів перевірки ПМГК зобов'язаний:

9.5. Територіальне управління/Центральна розрахункова палата Національного банку має право звернутися до керівника організації з пропозицією призначити нового адміністратора захисту інформації в разі неналежного виконання або невиконання ним своїх обов'язків.

(Абзац перший пункту 8.2 глави 8 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

9.6. Відповідальні за роботу із засобами захисту особи зобов'язані мати особисті печатки (штампи, пломбіратори тощо) для опечатування засобів захисту, сейфів і приміщення з АРМ-СЕП/АРМ-НБУ.

а) повідомити про це засобами електронної пошти Національного банку регіональний підрозділ Департаменту інформаційної безпеки протягом одного робочого дня і діяти відповідно до його рекомендацій;

Адміністратор захисту інформації зобов'язаний зареєструвати печатки (штампи, пломбіратори) у журналі обліку адміністратора захисту інформації (розділ 6 додатка 3).

(Підпункт "а" пункту 8.2 глави 8 в редакції Постанови Національного банку N 439 від 07.07.2015)

Відповідальні особи не мають права передавати між собою печатки (штампи, пломбіратори) для тимчасового користування.

б) повернути до регіонального підрозділу Департаменту інформаційної безпеки ПМГК разом із супровідним листом у паперовій формі. У листі повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення ПМГК;

9.7. Організація зобов'язана подавати до територіального управління/Центральної розрахункової палати Національного банку копію наказу про звільнення від виконання відповідних функцій в організації або покладення на нього виконання інших функцій, у тому числі й пов'язаних з вирішенням питань захисту електронної інформації в тій самій організації, адміністратора захисту інформації та адміністратора АРМ-СЕП/АРМ-НБУ.

(Підпункт "б" пункту 8.2 глави 8 в редакції Постанови Національного банку N 439 від 07.07.2015)

9.8. Організація забезпечує підбор відповідальних для роботи із засобами захисту осіб згідно з таблицею суміщення функціональних обов'язків (додаток 10) з метою дотримання вимог інформаційної безпеки.

в) зареєструвати ПМГК, що не пройшов перевірки, у журналі обліку адміністратора захисту інформації (додаток 3) з відповідним записом про його повернення до регіонального підрозділу Департаменту інформаційної безпеки;

Глава 10. Функціональні обов'язки
відповідальних осіб

г) знищити копію ПМГК, що не пройшов перевірки.

10.1. Адміністратор захисту інформації зобов'язаний:

8.3. Адміністратори захисту інформації зобов'язані передавати ПМГК і його робочу копію між собою з фіксуванням у журналі обліку адміністратора захисту інформації (розділ 7 додатка 3).

знати нормативно-правові акти Національного банку з питань організації захисту електронної банківської інформації і застосовувати їх у роботі;

8.4. Адміністратор захисту інформації зобов'язаний зберігати ПМГК і його робочу копію в неробочий час і в робочий час, якщо він не використовується в роботі, у сейфі. Адміністратор захисту інформації зобов'язаний замкнути й опечатати сейф відбитком особистої печатки.

виконувати вимоги щодо інформаційної безпеки в організації та підписати зобов'язання адміністратора захисту інформації;

8.5. Організація зобов'язана повернути ПМГК до регіонального підрозділу Департаменту інформаційної безпеки разом із супровідним листом у паперовій формі після завершення строку використання (Національний банк установлює дату). У цьому листі повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення.

забезпечувати конфіденційність системи захисту інформації в організації;

Організація зобов'язана знищити робочу копію ПМГК (якщо немає інших вимог Національного банку) на місці методом, який унеможливлює її відновлення (наприклад, шляхом фрагментарного подрібнення гнучкого магнітного диску), і скласти акт про знищення засобів захисту інформації Національного банку України (додаток 6). Регіональний підрозділ Департаменту інформаційної безпеки зберігає один примірник цього акта або оригінал, організація - другий або копію.

отримувати засоби захисту і проводити їх заміну в територіальному управлінні/Центральній розрахунковій палаті Національного банку;

Адміністратор захисту інформації зобов'язаний зробити відповідний запис про повернення ПМГК до регіонального підрозділу Департаменту інформаційної безпеки та знищення його копії в організації із зазначенням номерів і дат супровідного листа та акта про знищення копії у журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

здійснювати тестування ПМГК та брати участь у тестуванні інших засобів захисту;

(Пункт 8.5 глави 8 в редакції Постанови Національного банку N 439 від 07.07.2015)

вести листування з територіальним управлінням/Центральною розрахунковою палатою Національного банку з питань інформаційної безпеки;

8.6. Адміністратор захисту інформації в разі псування ГМД з копією ПМГК до завершення строку його використання зобов'язаний:

ознайомлювати відповідальних осіб організації з нормативно-правовими актами Національного банку з питань захисту інформації та перевіряти знання правил використання і зберігання ТК й інших засобів захисту;

а) зняти копію ПМГК повторно;

забезпечувати відповідальних осіб засобами захисту;

б) унести відповідну інформацію до журналу обліку адміністратора захисту інформації (розділ 2 додатка 3);

вести облік засобів захисту і здійснювати контроль за їх прийманням-передаванням;

в) повідомити регіональний підрозділ Департаменту інформаційної безпеки засобами електронної пошти Національного банку про заміну копії ПМГК і нові номери сеансів генерації ключів, які надаватимуться цією копією ПМГК під час наступних сеансів генерації ключів.

вести справи адміністратора захисту інформації і забезпечувати їх збереження;

(Підпункт "в" пункту 8.6 глави 8 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

забезпечувати генерацію ключів відповідальними особами;

8.7. Адміністратор захисту інформації в разі втрати ПМГК (та/або його копії) або втрати контролю за місцезнаходженням ПМГК та/або його копії зобов'язаний:

зберігати ПМГК і його копії;

а) проінформувати про це електронною поштою регіональний підрозділ Департаменту інформаційної безпеки і замовити новий ПМГК (додаток 7);

забезпечувати належне зберігання засобів захисту;

б) не проводити генерації ключів до отримання нового ПМГК;

забезпечувати відправлення на сертифікацію ВК, що потребують сертифікації;

в) провести службове розслідування, копію матеріалів якого подати до регіонального підрозділу Департаменту інформаційної безпеки;

вести архів ВК операціоністів;

г) отримати новий ПМГК відповідно до встановленого порядку і надалі вживати заходів, що передбачені в пунктах 8.1-8.6 цієї глави (діючі ТК мають право використовуватися до закінчення строку їх дії).

здійснювати знищення копій ПМГК у встановленому порядку;

8.8. Організація зобов'язана здійснити заміну ПМГК відповідно до пункту 8.7 цієї глави, не припиняючи роботу в СЕП та/або в інформаційних задачах, якщо адміністратор захисту інформації, який безпосередньо працював з ПМГК, звільняється з організації або переходить у цій самій організації на роботу до іншого підрозділу.

здійснювати контроль за дотриманням відповідальними особами правил інформаційної безпеки під час роботи із засобами захисту та їх зберігання;

здійснювати контроль за своєчасною заміною ТК відповідальними особами;

Службове розслідування в цьому разі не проводиться.

здійснювати контроль за змінами ТВК;

8.9. Відповідальна особа, яка працюватиме з ключем, зобов'язана генерувати кожен ключ за допомогою ПМГК на робочому місці, яке відповідає вимогам пункту 3.17 глави 3 цих Правил, у присутності адміністратора захисту інформації.

здійснювати контроль за правильним і своєчасним знищенням відповідальними особами ТК та їх копій;

здійснювати перевірки відповідності приміщень з АРМ-СЕП/АРМ-НБУ і сейфів, у яких зберігаються засоби захисту, вимогам інформаційної безпеки;

8.10. Відповідальна особа має право під час генерації записати ТК на ГМД, на апаратному носії ключа Touch Memory (далі - Touch Memory) або на іншому носії за погодженням з Національним банком. ВК після їх генерації (ключі операціоністів сертифікації не потребують) підлягають сертифікації в Національному банку.

здійснювати контроль за веденням журналів адміністратора АРМ-СЕП/АРМ-НБУ;

здійснювати контрольні перевірки відповідно до пункту 16.3 глави 16 цих Правил;

8.11. Відповідальна особа має право створити копії ТК (за винятком ТК операціоністів САБ) для запобігання зупиненню роботи організації в СЕП та/або в інформаційних задачах у разі псування ГМД з ТК за умови наявності розпорядчого документа організації про створення копій ТК з обов'язковим визначенням відповідальних за їх зберігання осіб і з фіксуванням цього в журналі генерації ключів.

інформувати керівника організації і територіальне управління/Центральну розрахункову палату Національного банку про виявлені недоліки, що можуть загрожувати безпеці електронної банківської інформації;

8.12. Відповідальна особа зобов'язана знищувати ТК і їх копії в присутності адміністратора захисту інформації методом, який гарантує неможливість їх відновлення.

брати участь (за письмовим або усним рішенням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

10.2. Адміністратор АРМ-СЕП/АРМ-НБУ організації зобов'язаний:

8.13. Відповідальна особа, яка проводить генерацію ключа і надалі працює з ним, зобов'язана встановити індивідуальний пароль для ТК (за необхідності - його копії).

знати (у частині, що стосується його повноважень) нормативно-правові акти Національного банку з питань організації захисту електронної інформації і застосовувати їх у роботі;

8.14. На створені копії ПМГК і ТК поширюються всі вимоги щодо інформаційної безпеки, як і на основні засоби захисту інформації.

забезпечувати конфіденційність системи захисту інформації;

8.15. Заборонено використання копій у разі:

забезпечувати технологічну дисципліну в роботі з програмно-апаратним комплексом АРМ-СЕП/АРМ-НБУ;

втрати ПМГК;

здійснювати генерацію ключів АРМ-СЕП/АРМ-НБУ;

втрати ТК;

здійснювати контроль за строком дії ключів АРМ-СЕП/АРМ-НБУ і своєчасну генерацію (з урахуванням часу на сертифікацію) нових ключів АРМ-СЕП/АРМ-НБУ;

виявлення факту зберігання або перебування ТК, ПМГК у сторонніх осіб;

здійснювати зберігання ТК АРМ-СЕП/АРМ-НБУ (за необхідності - їх копій), АКЗІ та СК для АРМ-СЕП;

забезпечувати зберігання засобів захисту під час їх перебування в адміністратора АРМ-СЕП/АРМ-НБУ;

Глава 9. Порядок зберігання та роботи
з ТК програмних засобів захисту

уносити необхідні зміни до ТВК АРМ-СЕП/АРМ-НБУ;

9.1. У разі використання апаратних носіїв ключової інформації (Touch Memory) зберігання таких носіїв у сейфі в неробочий час є необов'язковим.

знищувати в установленому порядку ТК АРМ-СЕП/АРМ-НБУ та їх копії;

здійснювати перевірки відповідності приміщення з АРМ-СЕП/АРМ-НБУ і сейфа адміністратора АРМ-СЕП/АРМ-НБУ вимогам інформаційної безпеки;

9.2. Відповідальні особи зобов'язані суворо дотримуватися правил використання та зберігання ТК для унеможливлення їх несанкціонованого копіювання в разі використання ГМД як носіїв ТК.

дотримуватися режиму допуску до приміщення з АРМ-СЕП/АРМ-НБУ;

9.3. У разі використання на робочих місцях САБ та/або інформаційних задач, що функціонують в операційному середовищі UNIX із засобами захисту, заборонено використовувати ГМД як носіїв ТК. У такому разі відповідальна особа під час генерації записує ТК на ГМД.

здавати під охорону і знімати з охорони приміщення з АРМ-СЕП/АРМ-НБУ;

вести журнал адміністратора АРМ-СЕП/АРМ-НБУ;

інформувати адміністратора захисту інформації про виявлення недоліків, що можуть загрожувати безпеці електронних банківських документів;

Відповідальна особа зобов'язана знищити ТК після закінчення строку його дії.

брати участь (за рішенням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

9.4. Відповідальна особа зобов'язана зберігати ТК (і за необхідності їх копії) у неробочий час у власному сейфі, який має бути замкнутим і опечатаним відбитком її особистої печатки.

10.3. Оператори АРМ бухгалтера САБ, операціоністи та оператори інших робочих і технологічних місць САБ та інформаційних задач, які працюють із засобами захисту, зобов'язані:

9.5. Адміністратори АРМ-СЕП/АРМ-НБУ зобов'язані передавати ТК АРМ-СЕП/АРМ-НБУ (і за необхідності їх копії) між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5).

знати (у частині, що стосується їх повноважень) нормативно-правові акти Національного банку з питань організації захисту електронної інформації і застосовувати їх у роботі;

Запис у журналі не робиться в разі наявності в адміністраторів АРМ-СЕП/АРМ-НБУ відповідних копій ТК.

дотримуватися конфіденційності відомостей про систему захисту інформації організації;

9.6. Адміністратор захисту інформації має право забезпечити зберігання всіх або частини ТК відповідальних осіб у неробочий час у власному сейфі, якщо немає достатньої кількості особистих сейфів.

забезпечувати технологічну дисципліну в роботі з програмним забезпеченням робочого місця;

виконувати правила використання і зберігання засобів захисту;

здійснювати генерацію власних ключів;

здійснювати контроль за строком дії ключів і своєчасною генерацією (з урахуванням часу на сертифікацію) нових ключів;

9.7. ТК мають обмежений строк дії, що встановлюється під час сертифікації ВК. Для ключів операціоністів, які не підлягають сертифікації, строк дії ключа становить 100 днів.

зберігати (за наявності особистого сейфа) власний ТК (за необхідності - його копію);

передавати в установленому порядку на зберігання (якщо немає особистого сейфа) власний ТК (і його копію) адміністратору захисту інформації;

9.8. Адміністратор захисту інформації організації зобов'язаний вести архів ВК операціоністів для забезпечення можливості перевірки ЕЦП операціоністів протягом усього строку зберігання архівів електронних банківських документів.

забезпечувати схоронність засобів захисту під час їх використання;

здійснювати знищення в установленому порядку власних ТК (і їх копій);

9.9. Адміністратор захисту інформації зобов'язаний здійснювати контроль за строком дії ключів, забезпечувати своєчасну їх генерацію відповідальними особами і сертифікацію ВК з метою уникнення невиправданої зупинки роботи організації.

вести журнал обліку оператора робочих і технологічних місць САБ у разі передавання ТК робочого місця іншій відповідальній особі;

9.10. Відповідальна особа організації зобов'язана знищувати ТК (та їх копії) після закінчення строку дії з відповідним записом у журналі обліку адміністратора захисту інформації (розділ 3 додатка 3).

інформувати адміністратора захисту інформації про виявлення недоліків, що загрожують безпеці електронної банківської інформації;

ТК не вносяться до архіву електронних банківських документів.

9.11. Відповідальна особа організації в разі псування ГМД з ТК до завершення строку його дії зобов'язана:

10.4. Організація зобов'язана дотримуватися такого порядку допуску відповідальних осіб до засобів захисту:

а) зняти ще одну копію ТК (у разі її наявності) або здійснити генерацію цього ключа;

допуск до ПМГК для роботи з ним мають лише адміністратори захисту інформації;

б) унести відповідні записи до журналу обліку адміністратора захисту інформації (розділ 3 додатка 3).

допуск до роботи з АКЗІ, СК, ТК АРМ-СЕП/АРМ-НБУ мають тільки адміністратори АРМ-СЕП/АРМ-НБУ;

9.12. Відповідальна особа в разі компрометації ТК зобов'язана:

допуск до ТК робочих і технологічних місць САБ та інформаційних задач має відповідальна особа і тільки до власного ТК;

а) припинити використання цього ТК;

відповідальні особи працюють з ПМГК лише в присутності адміністратора захисту інформації;

б) повідомити електронною поштою регіональний підрозділ Департаменту інформаційної безпеки, якщо це був ТК АРМ-СЕП або АРМ бухгалтера САБ;

адміністратори захисту інформації виконують свої функціональні обов'язки і контрольні функції під час роботи з ТВК на АРМ-СЕП/АРМ-НБУ та інших робочих місцях лише в присутності відповідальних осіб.

в) забезпечити вилучення відповідного ВК з ТВК (за допомогою ПМГК) у встановленому порядку;

Глава 11. Організація діловодства
з питань захисту інформації

г) забезпечити генерацію нового ТК і надалі вживати заходів щодо його введення в дію.

11.1. Діловодство з питань захисту інформації електронних банківських документів в організації ведуть:

9.13. Організація зобов'язана в разі втрати контролю за ТК провести службове розслідування, копії матеріалів якого подати до регіонального підрозділу Департаменту інформаційної безпеки.

адміністратор захисту інформації;

9.14. Адміністратор захисту інформації зобов'язаний забезпечити вилучення з роботи відповідних ВК у встановленому порядку, якщо відповідальна особа, яка має ТК для будь-якого робочого місця, звільняється з організації або виконує в цій організації інші функціональні обов'язки.

адміністратор АРМ-СЕП/АРМ-НБУ.

9.15. Організація зобов'язана затвердити внутрішній порядок зберігання ТК залежно від конкретних умов її функціонування, забезпечивши дотримання вимог цих Правил.

11.2. Адміністратор захисту інформації зобов'язаний вести:

Глава 10. Призначення відповідальних
осіб за роботу із засобами захисту

справу N 1 адміністратора захисту інформації;

10.1. Організація зобов'язана призначити для роботи із засобами захисту таких відповідальних осіб:

справу N 2 адміністратора захисту інформації;

адміністратора захисту інформації;

журнал обліку адміністратора захисту інформації (додаток 3).

адміністратора АРМ-СЕП/АРМ-НБУ;

11.3. Адміністратор захисту інформації зобов'язаний зберігати у справі N 1 адміністратора захисту інформації такі документи довгострокового користування:

оператора АРМ бухгалтера САБ;

а) нормативно-правові акти Національного банку, рекомендації територіального управління/Центральної розрахункової палати Національного банку з питань захисту інформації;

технолога САБ;

б) останній акт про перевірку територіальним управлінням/Центральною розрахунковою палатою Національного банку організації захисту електронної банківської інформації;

операціоніста;

в) зобов'язання відповідальних за роботу із засобами захисту осіб (додатки 8, 9);

операторів робочих і технологічних місць САБ та інформаційних задач.

г) акт про приймання-передавання засобів захисту;

10.2. Організація подає до регіонального підрозділу Департаменту інформаційної безпеки копію наказу про призначення відповідальних за роботу із засобами захисту осіб протягом трьох робочих днів з часу їх призначення.

ґ) довідку з підписом керівника організації про дії відповідальних за роботу із засобами захисту осіб у разі виникнення надзвичайних ситуацій;

10.3. Адміністратор захисту інформації має право надати дозвіл на роботу на АРМ-СЕП/АРМ-НБУ, робочих і технологічних місцях САБ та інформаційних задач відповідальним за роботу із засобами захисту особам після їх ознайомлення з нормативно-правовими актами Національного банку, іншими документами з питань інформаційної безпеки.

д) інші документи з питань захисту інформації.

11.4. Адміністратор захисту інформації зобов'язаний зберігати в справі N 2 адміністратора захисту інформації такі документи короткострокового користування:

Відповідальна особа зобов'язана підписати відповідне зобов'язання (додаток 8).

а) супровідні листи (додаток 7);

10.4. Організація подає до регіонального підрозділу Департаменту інформаційної безпеки копію розпорядчого документа про призначення адміністратора захисту інформації протягом трьох робочих днів з часу його призначення.

б) акт про знищення засобів захисту інформації Національного банку України (додаток 6);

в) акт про приймання-передавання засобів захисту;

Регіональний підрозділ Департаменту інформаційної безпеки зобов'язаний зробити відмітку про проведення перевірки знання відповідних нормативно-правових актів Національного банку та обов'язків адміністратора захисту інформації і зберігати копію цього зобов'язання.

г) акт про повернення до територіального управління/Центральної розрахункової палати Національного банку, знищення і передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку (додаток 11);

(Абзац третій пункту 10.4 глави 10 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

ґ) інші документи з питань захисту інформації.

10.5. Департамент інформаційної безпеки на підставі повідомлення регіонального підрозділу Департаменту інформаційної безпеки має право звернутися до керівника організації з пропозицією призначити нового адміністратора захисту інформації в разі неналежного виконання/невиконання ним своїх обов'язків або розпочати процедуру вилучення наданих організації засобів захисту.

11.5. До справ N 1, 2 адміністратора захисту інформації не включаються документи з питань загальної безпеки, що не стосуються захисту електронних банківських документів.

(Пункт 10.5 глави 10 в редакції Постанови Національного банку N 439 від 07.07.2015)

11.6. Листи територіального управління/Центральної розрахункової палати Національного банку (або їх копії), що надходять електронною поштою, повинні або включатися до справ N 1, 2, або реєструватися, зберігатися і знищуватися відповідно до правил діловодства організації.

10.6. Відповідальні за роботу із засобами захисту особи зобов'язані мати особисті печатки (штампи, пломбіратори тощо) для опечатування засобів захисту, сейфів і приміщення з АРМ-СЕП/АРМ-НБУ.

11.7. Адміністратор АРМ-СЕП/АРМ-НБУ зобов'язаний вести журнал обліку адміністратора АРМ-СЕП/АРМ-НБУ, у якому реєструється приймання-передавання засобів захисту на АРМ-СЕП/АРМ-НБУ.

Глава 12. Перевірка готовності організації
до включення в СЕП та інформаційні задачі

12.1. Територіальне управління/Центральна розрахункова палата Національного банку зобов'язане/зобов'язана перевірити готовність організації до включення в СЕП та інформаційні задачі, у яких використовуються засоби захисту, після вжиття організацією необхідних первинних заходів щодо організації захисту електронної банківської інформації відповідно до вимог, що визначаються цими Правилами та іншими нормативно-правовими актами Національного банку.

10.7. Організація зобов'язана подавати до регіонального підрозділу Департаменту інформаційної безпеки копію наказу про звільнення від виконання відповідних функцій в організації або покладення на нього виконання інших функцій, у тому числі й пов'язаних з вирішенням питань захисту електронної інформації в тій самій організації, адміністратора захисту інформації та адміністратора АРМ-СЕП/АРМ-НБУ.

12.2. Підставою для перевірки є відповідне розпорядження територіального управління/Центральної розрахункової палати Національного банку.

10.8. Організація забезпечує підбір відповідальних для роботи із засобами захисту осіб згідно з таблицею суміщення функціональних обов'язків (додаток 10) з метою дотримання вимог інформаційної безпеки.

12.3. Під час перевірки розглядаються такі питання:

Глава 11. Функціональні обов'язки відповідальних осіб

а) наявність технічних можливостей для організації робочих місць відповідальних за роботу із засобами захисту осіб;

11.1. Адміністратор захисту інформації зобов'язаний:

б) стан приміщення з АРМ-СЕП/АРМ-НБУ;

в) наявність відповідальних за роботу із засобами захисту осіб;

г) наявність копій нормативно-правових актів Національного банку щодо забезпечення інформаційної безпеки під час роботи із засобами захисту;

забезпечувати конфіденційність системи захисту інформації в організації;

ґ) наявність розпорядчого документа організації про призначення відповідальних за роботу із засобами захисту осіб і зобов'язань усіх відповідальних осіб;

отримувати засоби захисту і проводити їх заміну в регіональному підрозділі Департаменту інформаційної безпеки;

д) перевірка знань нормативно-правових актів, що регламентують порядок забезпечення інформаційної безпеки під час роботи із засобами захисту.

здійснювати тестування ПМГК та брати участь у тестуванні інших засобів захисту;

12.4. За результатами перевірки складається відповідний акт (додаток 12).

вести листування з регіональним підрозділом Департаменту інформаційної безпеки з питань інформаційної безпеки;

За наявності недоліків, що можуть впливати на безпеку електронних банківських документів, складається акт із зазначенням виявлених недоліків та встановленням строку їх усунення.

12.5. Територіальне управління/Центральна розрахункова палата Національного банку вирішує питання про надання організації необхідних засобів захисту і документів, що регламентують правила інформаційної безпеки під час роботи з ними, у робочому порядку.

забезпечувати відповідальних осіб засобами захисту;

12.6. Завершальним етапом підготовки організації до включення в СЕП є генерація і сертифікація ключів для АРМ СЕП, що мають проводитися за один робочий день до включення організації до довідника учасників СЕП.

вести облік засобів захисту і здійснювати контроль за їх прийманням-передаванням;

Глава 13. Повернення засобів захисту

вести справи адміністратора захисту інформації і забезпечувати їх збереження;

13.1. Організація зобов'язана повернути засоби захисту до територіального управління/Центральної розрахункової палати Національного банку в разі:

забезпечувати генерацію ключів відповідальними особами;

а) ліквідації;

зберігати ПМГК і його копії;

б) припинення роботи із засобами захисту;

забезпечувати належне зберігання засобів захисту;

в) виявлення порушень в організації захисту електронних банківських документів.

забезпечувати відправлення на сертифікацію ВК, що потребують сертифікації;

13.2. Організація зобов'язана в разі її ліквідації повернути АКЗІ разом із СК до територіального управління/Центральної розрахункової палати Національного банку протягом трьох робочих днів.

вести архів ВК операціоністів;

13.3. Організація у випадках, передбачених підпунктом "б" пункту 13.1 цієї глави, зобов'язана:

здійснювати знищення копій ПМГК у встановленому порядку;

а) погодити з територіальним управлінням/Центральною розрахунковою палатою Національного банку передбачувані строки і порядок виходу організації із СЕП або переходу на іншу модель роботи, перелік засобів захисту, журналів, які підлягають поверненню до територіального управління/Центральної розрахункової палати Національного банку, передаванню до архіву організації або знищенню на місці;

б) ужити заходів щодо повернення до територіального управління/Центральної розрахункової палати Національного банку, знищення і передавання до архіву засобів захисту, справ, журналів обліку зі складанням акта про повернення до територіального управління/Центральної розрахункової палати Національного банку України, знищення і передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку (додаток 11);

здійснювати контроль за своєчасною заміною ТК відповідальними особами;

в) надіслати до територіального управління/Центральної розрахункової палати Національного банку вищезазначений акт, перший примірник якого зберігає територіальне управління/Центральна розрахункова палата Національного банку, другий - організація.

здійснювати контроль за змінами ТВК;

13.4. У випадках проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, під час якої можуть виникнути умови втрати контролю за засобами захисту, питання про доцільність повернення або знищення засобів захисту і відповідного програмного забезпечення має вирішуватися залежно від ситуації, що склалася.

здійснювати контроль за правильним і своєчасним знищенням відповідальними особами ТК та їх копій;

Глава 14. Порядок використання і зберігання
засобів захисту в разі виникнення
надзвичайних ситуацій

14.1. Організація зобов'язана вжити заходів для усунення загрози втрати засобів захисту, електронних архівів, комп'ютерної техніки тощо в разі виникнення надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо). Дії працівників організації, які використовують засоби захисту, регламентуються відповідним документом, що складений у довільній формі, підписаний керівником організації і зберігається у справі N 1 адміністратора захисту інформації. Особи, які працюють із засобами захисту, повинні зберігати виписку з цього документа на своїх робочих місцях.

здійснювати контроль за веденням журналів адміністратора АРМ-СЕП/АРМ-НБУ;

14.2. Організація має право забезпечити роботу протягом одного робочого дня в приміщенні іншої організації за попереднім узгодженням з територіальним управлінням/Центральною розрахунковою палатою Національного банку і дотриманням правил використання і зберігання засобів захисту в разі виникнення аварійної ситуації (відключення електроживлення, пошкодження ліній зв'язку тощо). Організація в такому випадку зобов'язана видати розпорядчий документ про це, копія якого надсилається до територіального управління/Центральної розрахункової палати Національного банку.

здійснювати контрольні перевірки відповідно до пункту 17.3 глави 17 цих Правил;

14.3. Організація має право визначити тимчасовий порядок використання та зберігання засобів захисту за попереднім погодженням з територіальним управлінням/Центральною розрахунковою палатою Національного банку за необхідності (ремонтні роботи, переведення АРМ-СЕП/АРМ-НБУ в інше приміщення тощо). Організація в такому випадку зобов'язана видати розпорядчий документ про це, копія якого надсилається до територіального управління/Центральної розрахункової палати Національного банку.

інформувати керівника організації і регіональний підрозділ Департаменту інформаційної безпеки про виявлені недоліки, що можуть загрожувати безпеці електронної банківської інформації;

14.4. Організація зобов'язана в разі виявлення фактів компрометації засобів захисту під час перевірки її діяльності правоохоронними органами проінформувати:

правоохоронні органи про наявність у неї засобів захисту, які є банківською таємницею і власністю Національного банку;

11.2. Адміністратор АРМ-СЕП/АРМ-НБУ організації зобов'язаний:

територіальне управління/Центральну розрахункову палату Національного банку про вищезазначене.

Глава 15. Порядок інформування територіального
управління/Центральної розрахункової палати
Національного банку

забезпечувати конфіденційність системи захисту інформації;

15.1. Організація зобов'язана протягом одного робочого дня (по телефону) інформувати територіальне управління/Центральну розрахункову палату Національного банку в таких випадках:

забезпечувати технологічну дисципліну в роботі з програмно-апаратним комплексом АРМ-СЕП/АРМ-НБУ;

а) виконання (спроби виконання) фіктивного платіжного документа;

здійснювати генерацію ключів АРМ-СЕП/АРМ-НБУ;

б) компрометація засобів захисту;

в) пошкодження засобів захисту;

здійснювати зберігання ТК АРМ-СЕП/АРМ-НБУ (за необхідності - їх копій), АКЗІ та СК для АРМ-СЕП;

г) несанкціоноване проникнення в приміщення з АРМ-СЕП/АРМ-НБУ (пошкодження вхідних дверей, ґрат на вікнах, спрацювання сигналізації за нез'ясованих обставин тощо);

забезпечувати зберігання засобів захисту під час їх перебування в адміністратора АРМ-СЕП/АРМ-НБУ;

ґ) проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, унаслідок якої створюються умови для компрометації засобів захисту;

уносити необхідні зміни до ТВК АРМ-СЕП/АРМ-НБУ;

д) виникнення інших аварійних або надзвичайних ситуацій, що створюють передумови до розкрадання, втрати, пошкодження тощо засобів захисту.

знищувати в установленому порядку ТК АРМ-СЕП/АРМ-НБУ та їх копії;

15.2. Організація зобов'язана проводити попереднє узгодження з територіальним управлінням/Центральною розрахунковою палатою Національного банку в таких випадках:

а) переведення АРМ-СЕП (у тому числі й тимчасово) в інше приміщення;

дотримуватися режиму допуску до приміщення з АРМ-СЕП/АРМ-НБУ;

б) забезпечення роботи АРМ-СЕП поза межами організації;

здавати під охорону і знімати з охорони приміщення з АРМ-СЕП/АРМ-НБУ;

в) виникнення інших нестандартних ситуацій.

вести журнал адміністратора АРМ-СЕП/АРМ-НБУ;

15.3. Організація зобов'язана повідомляти територіальне управління/Центральну розрахункову палату Національного банку протягом одного робочого дня про:

а) призначення адміністраторів захисту інформації, адміністраторів АРМ-СЕП/АРМ-НБУ і АРМ бухгалтера САБ (копія наказу або виписка з наказу);

брати участь (за рішенням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

б) звільнення від обов'язків адміністратора захисту інформації, адміністраторів АРМ-СЕП/АРМ-НБУ та АРМ бухгалтера САБ (копія наказу або виписка з наказу);

11.3. Оператори АРМ бухгалтера САБ, операціоністи та оператори інших робочих і технологічних місць САБ та інформаційних задач, які працюють із засобами захисту, зобов'язані:

в) отримання засобів захисту, що надсилаються територіальним управлінням/Центральною розрахунковою палатою Національного банку засобами спецзв'язку (з повідомленням про це за допомогою електронної пошти);

г) перехід на використання програмних засобів захисту АРМ-СЕП і зворотний перехід на роботу з АКЗІ (з наданням відповідного листа);

дотримуватися конфіденційності відомостей про систему захисту інформації організації;

ґ) позапланову заміну ПМГК (з наданням відповідного листа).

забезпечувати технологічну дисципліну в роботі з програмним забезпеченням робочого місця;

Глава 16. Контроль за організацією захисту
інформації в організації

виконувати правила використання і зберігання засобів захисту;

16.1. Контроль за організацією захисту інформації документів відповідно до вимог нормативно-правових актів Національного банку у діяльності організації забезпечують:

здійснювати генерацію власних ключів;

керівник організації (особа, яка виконує його обов'язки);

заступник керівника організації або особа, яка за своїми службовими обов'язками або за окремим розпорядчим документом організації призначена відповідальною за організацію захисту електронних банківських документів.

зберігати (за наявності особистого сейфа) власний ТК (за необхідності - його копію);

16.2. Контроль за станом засобів захисту в організації забезпечує адміністратор захисту інформації.

16.3. Адміністратор захисту інформації зобов'язаний не рідше одного разу на квартал проводити планові перевірки використання засобів захисту відповідальними особами організації.

забезпечувати схоронність засобів захисту під час їх використання;

Адміністратор захисту інформації зобов'язаний звертати увагу на наявність засобів захисту, ключів від сейфів, у яких зберігаються засоби захисту, облікових даних, дотримання вимог щодо інформаційної безпеки під час зберігання та використання засобів захисту, обмеження доступу до приміщення з АРМ-СЕП/АРМ-НБУ, знання відповідальними особами нормативно-правових актів Національного банку з питань інформаційної безпеки, правильне і своєчасне заповнення журналів обліку.

здійснювати знищення в установленому порядку власних ТК (і їх копій);

Адміністратор захисту інформації зобов'язаний зробити відповідні записи в журналі обліку адміністратора захисту інформації (розділ 9 додатка 3) після завершення перевірки.

16.4. Територіальне управління/Центральна розрахункова палата Національного банку мають право здійснювати перевірку використання і зберігання засобів захисту.

16.5. Працівник територіального управління/Центральної розрахункової палати Національного банку, який здійснює перевірку, зобов'язаний мати при собі документи, які підтверджують його особу, і розпорядження про проведення перевірки.

16.6. Перевірка здійснюється в присутності посадової особи, призначеної керівником організації.

11.4. Організація зобов'язана дотримуватися такого порядку допуску відповідальних осіб до засобів захисту:

16.7. Працівник територіального управління/Центральної розрахункової палати Національного банку зобов'язаний під час перевірки застосовувати нормативно-правові акти Національного банку.

допуск до ПМГК для роботи з ним мають лише адміністратори захисту інформації;

16.8. Працівник територіального управління/Центральної розрахункової палати Національного банку, який здійснює перевірку, має право:

допуск до роботи з АКЗІ, СК, ТК АРМ-СЕП/АРМ-НБУ мають тільки адміністратори АРМ-СЕП/АРМ-НБУ;

а) перевіряти засоби захисту, АРМ-СЕП/АРМ-НБУ, журнали, справи і документи з питань організації захисту інформації;

б) відвідувати приміщення з АРМ-СЕП/АРМ-НБУ, вивчати умови зберігання засобів захисту;

відповідальні особи працюють з ПМГК лише в присутності адміністратора захисту інформації;

в) відвідувати робочі місця всіх відповідальних осіб організації, які використовують засоби захисту, і вивчати умови використання та зберігання засобів захисту;

г) перевіряти у відповідальних за роботу із засобами захисту осіб знання нормативно-правових актів Національного банку, що регламентують забезпечення інформаційної безпеки, виконання рекомендацій Національного банку, їх уміння працювати із засобами захисту;

Глава 12. Організація діловодства з питань захисту інформації

ґ) ознайомлюватися з наказами, актами й іншими документами організації, що дають змогу проконтролювати виконання відповідальними особами вимог щодо інформаційної безпеки;

12.1. Діловодство з питань захисту інформації електронних банківських документів в організації ведуть:

д) у разі залучення брати участь у службових розслідуваннях, що проводяться в організації, у разі виявлення недоліків в організації захисту електронної банківської інформації.

адміністратор захисту інформації;

16.9. Територіальне управління/Центральна розрахункова палата Національного банку проводить планові (не рідше одного разу на два роки) і позапланові перевірки.

адміністратор АРМ-СЕП/АРМ-НБУ.

Підставою для проведення позапланових перевірок є початок використання засобів захисту організацією або її переведення на будь-яку модель обслуговування консолідованого кореспондентського рахунку в СЕП, зміна місцезнаходження організації, перевірка після усунення недоліків, виявлених під час попередньої перевірки.

12.2. Адміністратор захисту інформації зобов'язаний вести:

16.10. За результатами перевірки складається акт про проведення перевірки організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України (додаток 12) у двох примірниках. Територіальне управління/Центральна розрахункова палата Національного банку зберігає перший примірник цього акта, організація - другий.

справу N 1 адміністратора захисту інформації;

Глава 17. Особливості використання
засобів захисту в установах Державного
казначейства України

справу N 2 адміністратора захисту інформації;

17.1. Умови отримання засобів захисту установами Державного казначейства України визначаються відповідно до договору між Національним банком України і Державним казначейством України про функціонування рахунку Державного казначейства України в Національному банку.

журнал обліку адміністратора захисту інформації (додаток 3).

17.2. Державне казначейство України використовує засоби захисту для роботи в СЕП та інформаційних задачах, а також у внутрішній АС "Казна" на рівні Управління Державного казначейства України в Автономній Республіці Крим, на рівні обласних управлінь і районних відділень Державного казначейства України.

12.3. Адміністратор захисту інформації зобов'язаний зберігати у справі N 1 адміністратора захисту інформації такі документи довгострокового користування:

17.3. Порядок використання, зберігання і приймання-передавання засобів захисту в обласних управліннях і районних відділеннях Державного казначейства України визначається цими Правилами, а також відповідним нормативним документом Державного казначейства України, який повинен відповідати цим Правилам.

а) нормативно-правові акти Національного банку, рекомендації Національного банку з питань захисту інформації;

Директор Департаменту інформатизації А.С.Савченко

(Підпункт "а" пункту 12.3 глави 12 в редакції Постанови Національного банку N 439 від 07.07.2015)

Погоджено:

б) останню довідку про перевірку регіональним підрозділом Департаменту інформаційної безпеки організації захисту електронної банківської інформації;

Заступник Голови Національного банку України П.М.Сенищ

(Підпункт "б" пункту 12.3 глави 12 в редакції Постанови Національного банку N 439 від 07.07.2015)

Додаток 1
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

в) зобов'язання відповідальних за роботу із засобами захисту осіб (додатки 8, 9);

ДОГОВІР N ______
про використання засобів захисту
інформації Національного банку України
в інформаційних задачах
(Зразок)

г) акт про приймання-передавання засобів захисту інформації та/або супровідний лист до засобів захисту інформації, які перебувають у використанні;

м. ____________ _______________
(дата)

(Підпункт "г" пункту 12.3 глави 12 в редакції Постанови Національного банку N 439 від 07.07.2015)

Національний банк України (далі - Виконавець) в особі
__________________________________________________________________
(посада)

_________________________________________________________________,
(прізвище, ім'я, по батькові)

який діє на підставі ________________________ від _____ N _______,
(найменування документа)

та _____________________________________________ (далі - Замовник)
(найменування організації)

в особі _________________________________________________________,
(посада, прізвище, ім'я, по батькові)

який діє на підставі ________________________ від _______ N ______
(найменування документа)

(далі - Сторони), уклали цей договір про таке.

1. Предмет договору

1.1. Виконавець зобов'язується надати Замовникові (з актом
про приймання-передавання):
програмні засоби захисту інформації (у тому числі програмний
модуль генерації ключів);
програмне забезпечення АРМ-НБУ, у складі якого
використовуються програмні засоби захисту інформації в
інформаційних задачах Національного банку України.

2. Права та обов'язки Сторін

2.1. Виконавець має право:
перевіряти Замовника щодо користування, зберігання, обліку
засобів захисту інформації, а також виконання організаційних та
інших вимог щодо захисту інформації в інформаційних задачах
Національного банку України;
зупиняти обслуговування Замовника в разі виявлення порушень
правил роботи із засобами захисту інформації або передавання
отриманих Замовником засобів захисту третім особам чи
організаціям;
запроваджувати нові програмно-технічні та технологічні
засоби, що розроблені для поліпшення послуг, які надаються
Замовникові.

2.2. Замовник має право:
користуватися наданими програмними засобами захисту
інформації в інформаційних задачах Національного банку України;
отримувати від Виконавця консультації з питань, що пов'язані
з використанням та зберіганням засобів захисту інформації;
використовувати наданий програмний модуль генерації ключів
для робочих і технологічних місць системи автоматизації
організації та інформаційних задач Національного банку України
згідно з діючою технологією.

2.3. Виконавець бере на себе такі обов'язки:
належним чином та своєчасно надавати Замовникові програмні
засоби захисту інформації з потрібною документацією до них і
консультації з питань захисту інформації та правил користування
засобами захисту;
своєчасно інформувати Замовника про зміни ключової системи
захисту в інформаційних задачах Національного банку України;
своєчасно інформувати Замовника про зміни, які планується
вносити в програмні засоби захисту інформації в інформаційних
задачах Національного банку України;
забезпечувати своєчасну заміну програмного модуля генерації
ключів у разі його пошкодження або виходу з ладу, крім випадків,
що зазначені в пункті 4.2 цього договору.

2.4. Замовник бере на себе такі обов'язки:
дотримуватися технологічної дисципліни в роботі з програмними
засобами захисту інформації, забезпечувати їх використання і
зберігання згідно з вимогами Виконавця. Негайно інформувати
Виконавця про виникнення порушень умов зберігання та використання
програмних засобів захисту інформації і вживати заходів для їх
усунення;
утримувати програмні засоби захисту інформації в належному
стані;
не використовувати надані програмні засоби захисту інформації
для завдань, які не обумовлені наявними інструкціями;
своєчасно здійснювати оплату Виконавцеві за виконані роботи
та надані послуги;
передати (повернути) Виконавцеві програмні засоби захисту
інформації та документацію до них протягом трьох робочих днів
після припинення дії цього договору;
сплачувати Виконавцеві встановлену нормативно-правовими
актами Національного банку України суму за проведення фахівцями
Національного банку України аналізу в разі:
повторно виявлених у Замовника порушень умов зберігання і
використання засобів захисту інформації;
втрати або пошкодження програмного модуля генерації ключів та
його повторного надання на заміну втраченого або пошкодженого.

3. Порядок розрахунків

3.1. Виконавець щомісяця до ___ числа надсилає Замовникові
засобами системи електронної пошти Національного банку України
розрахунок за виконані роботи та надані послуги згідно з тарифами
на операції (послуги), установленими нормативно-правовими актами
Національного банку України. У разі внесення Національним банком
України змін до тарифів розмір оплати змінюється від часу набрання
чинності цими змінами (без укладення додаткового договору).
Замовник має здійснити оплату за розрахунком (у тому числі пені)
до першого числа наступного місяця.
Акт про виконані роботи та надані послуги з підписами та
відбитком печатки Виконавець має право надсилати Замовникові
засобами поштового зв'язку.

3.2. Розрахунок за виконані роботи, надані послуги за
неповний робочий місяць здійснюється за фактично відпрацьовані дні
місяця.

3.3. У разі ненадходження оплати від Замовника протягом
місяця Виконавець без додаткового погодження надсилає електронне
розрахункове повідомлення до територіального
управління/Центральної розрахункової палати Національного банку
України, що обслуговує кореспондентський (консолідований
кореспондентський) рахунок банку (філії), для списання суми згідно
з розрахунком. У реквізиті "Призначення платежу" електронного
розрахункового повідомлення Виконавець зазначає номер і дату
договору, за яким має здійснюватися договірне списання.

4. Відповідальність Сторін

4.1. Виконавець несе відповідальність перед Замовником за
правильне і своєчасне надання програмних засобів захисту
інформації Замовнику для забезпечення можливості роботи в
інформаційних задачах Національного банку.

4.2. Замовник відшкодовує Виконавцеві збитки, що завдані ним
у зв'язку з порушенням умов зберігання і використання засобів
захисту інформації.

4.3. У разі прострочення оплати за виконані роботи та надані
послуги Замовник сплачує Виконавцеві суму боргу з урахуванням
установленого індексу інфляції за весь час прострочення і ___
проценти річних з простроченої суми.

д) інші документи з питань захисту інформації.

5. Форс-мажор

5.1. Сторони договору звільняються від відповідальності за
часткове або повне невиконання будь-якого з положень цього
договору, якщо це невиконання стало наслідком причин, що
перебувають поза сферою контролю Сторони, яка його не виконала.
Такі причини включають стихійне лихо, надзвичайні погодні умови,
пожежі, війни, страйки, військові дії, громадські заворушення
(далі - форс-мажор), але не обмежуються ними. Період звільнення
від відповідальності починається з часу оголошення однією Стороною
форс-мажору і закінчується (чи закінчився б), якщо ця Сторона
вжила заходів, яких вона і справді могла б ужити, для виходу з
форс-мажору. Форс-мажор автоматично продовжує строк виконання
зобов'язань на весь період його дії та ліквідації наслідків. Про
настання форс-мажорних обставин Сторони мають інформувати одна
одну невідкладно. Якщо ці обставини триватимуть більше ніж
6 місяців, то кожна із Сторін матиме право відмовитися від
подальшого виконання зобов'язань за цим договором і в такому разі
жодна із Сторін не матиме права на відшкодування іншою Стороною
можливих збитків.
Достатнім доказом дії форс-мажорних обставин є документ,
виданий уповноваженим органом.

6. Порядок зміни та розірвання договору

6.1. Усі зміни до цього договору в період його дії вносяться
додатковими договорами, що стають його невід'ємними частинами і
набирають чинності з дня підписання обома Сторонами.

6.2. Сторона, яка вважає за потрібне змінити чи розірвати
договір, надсилає пропозиції про це другій Стороні.

6.3. Сторона, яка одержала пропозицію про зміну чи розірвання
договору, у 20-денний строк після одержання пропозиції повідомляє
другу Сторону про результати її розгляду.

6.4. Якщо Сторони не досягли згоди щодо зміни (розірвання)
договору або в разі неодержання відповіді в установлений строк з
урахуванням часу поштового обігу, то зацікавлена Сторона має право
передати спір на вирішення суду.

6.5. У разі зміни однією із Сторін будь-яких реквізитів, що
зазначені в розділі 10 цього договору, Сторона, яка змінила
реквізити, до ____ днів після їх зміни письмово повідомляє про це
другу Сторону. Сторона, яка одержала це повідомлення, має письмово
повідомити другу Сторону про його одержання.

7. Порядок розгляду спорів

7.1. Спори, що виникають протягом дії цього договору,
вирішуються шляхом переговорів, а в разі недосягнення згоди -
у суді.

8. Строк дії договору

8.1. Договір, укладений на строк _________, набирає чинності
з дня його підписання. Дія договору припиняється у випадках,
передбачених законодавством України.

9. Інші умови договору

9.1. Цей договір складено в двох примірниках, що мають
однакову юридичну силу, по одному для кожної із Сторін.

9.2. Взаємовідносини Сторін, що не визначені цим договором,
регулюються законодавством України.

12.4. Адміністратор захисту інформації зобов'язаний зберігати в справі N 2 адміністратора захисту інформації такі документи короткострокового користування:

10. Для розв'язання всіх питань, що пов'язані з виконанням
цього договору, відповідальними представниками є:

від Виконавця: _______________ від Замовника: _____________
______________________________ ____________________________
Виконавець ___________________ Замовник ___________________
(підпис) (підпис)

11. Місцезнаходження, банківські реквізити, ідентифікаційні
коди Сторін за ЄДРПОУ:

Виконавця ____________________ Замовника __________________
______________________________ ____________________________

М.П. М.П.

а) листи про надання засобів захисту інформації (додаток 7);

Примітка. Сторони можуть змінювати умови, які передбачені цим
договором, а також установлювати інші умови, що мають відповідати
законодавству України, у тому числі нормативно-правовим актам
Національного банку України.

(Підпункт "а" пункту 12.4 глави 12 в редакції Постанови Національного банку N 439 від 07.07.2015)

Директор Департаменту інформатизації А.С.Савченко

б) акт про знищення засобів захисту інформації Національного банку України (додаток 6);

Додаток 2
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

в) акт про приймання-передавання засобів захисту інформації та/або супровідний лист до засобів захисту інформації, які були повернуті до регіонального підрозділу Департаменту інформаційної безпеки;

Орієнтовний перелік
порушень в організації роботи із засобами
захисту інформації Національного банку України

(Підпункт "в" пункту 12.4 глави 12 в редакції Постанови Національного банку N 439 від 07.07.2015)

1. Використання засобів захисту інформації Національного банку України у внутрішній платіжній системі організації, у територіально відокремлених філіях (відділеннях), які не є безпосередніми учасниками СЕП та/або інформаційних задач Національного банку України, системі "клієнт-банк" тощо.

г) акт про повернення до регіонального підрозділу Департаменту інформаційної безпеки, знищення і передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку (додаток 11);

2. Неправильний розподіл повноважень відповідальних осіб, які використовують засоби захисту інформації Національного банку України.

ґ) інші документи з питань захисту інформації.

3. Порушення правила про те, що кожний платіжний документ організації має бути підписаний не менше ніж двома відповідальними особами цієї організації.

12.5. До справ N 1, 2 адміністратора захисту інформації не включаються документи з питань загальної безпеки, що не стосуються захисту електронних банківських документів.

4. Допуск адміністратора захисту інформації або адміністратора САБ до оброблення електронних платежів.

12.6. Листи регіонального підрозділу Департаменту інформаційної безпеки (або їх копії), що надходять електронною поштою, повинні або включатися до справ N 1, 2, або реєструватися, зберігатися і знищуватися відповідно до правил діловодства організації.

5. Порушення правил генерації, використання та зберігання таємних ключів.

12.7. Адміністратор АРМ-СЕП/АРМ-НБУ зобов'язаний вести журнал обліку адміністратора АРМ-СЕП/АРМ-НБУ, у якому реєструється приймання-передавання засобів захисту на АРМ-СЕП/АРМ-НБУ.

6. Використання засобів захисту інформації особами, які не були призначені відповідальними за роботу із засобами захисту інформації Національного банку України згідно з розпорядчим документом організації.

Глава 13. Перевірка готовності організації
до включення в СЕП та інформаційні задачі

7. Передавання засобів захисту інформації Національного банку України в інші організації та використання засобів захисту інформації Національного банку України, які були видані іншим організаціям.

13.1. Регіональний підрозділ Департаменту інформаційної безпеки зобов'язаний перевірити готовність організації до включення в СЕП та інформаційні задачі, у яких використовуються засоби захисту, після вжиття організацією необхідних первинних заходів щодо організації захисту електронної банківської інформації відповідно до вимог, що визначаються цими Правилами та іншими нормативно-правовими актами Національного банку.

8. Використання для захисту електронних платежів засобів захисту інформації Національного банку України, контроль за якими був утрачений.

(Пункт 13.1 глави 13 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

9. Наявність неврахованих копій засобів захисту інформації Національного банку України (програмного модуля генерації ключів, таємних ключів тощо).

13.2. Підставою для перевірки є відповідний розпорядчий документ Департаменту інформаційної безпеки Національного банку.

10. Наявність копій таємних ключів операціоністів, невчасне вилучення з таблиці відкритих ключів АРМ-СЕП/АРМ-НБУ відкритих ключів операціоністів, які припинили оброблення електронних платіжних документів.

(Пункт 13.2 глави 13 в редакції Постанови Національного банку N 439 від 07.07.2015)

11. Зберігання на жорсткому диску ПЕОМ АРМ-СЕП/АРМ-НБУ програм, які не використовуються під час оброблення електронних банківських документів.

13.3. Під час перевірки розглядаються такі питання:

Директор Департаменту інформатизації А.С.Савченко

Додаток 3
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

б) стан приміщення з АРМ-СЕП/АРМ-НБУ;

ЖУРНАЛ ОБЛІКУ
адміністратора захисту інформації
(Зразок)

в) наявність відповідальних за роботу із засобами захисту осіб;

Розділ 1. Перелік відповідальних за роботу із засобами
захисту інформації Національного банку України осіб:

------------------------------------------------------------------
| N |Прізвище,|Функціо- | Дата і |Дата і номер | Примітки |
|з/п|ініціали | нальні | номер |розпорядчого | |
| |відпові- |обов'язки |розпорядчого |документа про | |
| |дальної | | документа |звільнення від| |
| | особи | | про |функціональних| |
| | | | призначення |обов'язків | |
|---+---------+----------+-------------+--------------+----------|
| 1 | 2 | 3 | 4 | 5 | 6 |
|---+---------+----------+-------------+--------------+----------|
| | | | | | |
------------------------------------------------------------------

Примітка. У колонці 6 робляться короткі робочі записи про
причину звільнення відповідальної за роботу із засобами захисту
особи.

Розділ 2. Перелік нормативно-правових актів і засобів захисту
інформації Національного банку України:

13.4. За результатами перевірки складається відповідний акт (додаток 12).

------------------------------------------------------------------
| N | Дата | Назва |Дата | Дата і | Дата і |Примітки|
|з/п|отримання| |копію-| підпис | підпис | |
| | | |вання | відпові-| відпові- | |
| | | | | дальної | дальної | |
| | | | |особи про|особи про | |
| | | | |отримання|повернення| |
|---+---------+-------------+------+---------+----------+--------|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
|---+---------+-------------+------+---------+----------+--------|
| | | | | | | |
------------------------------------------------------------------

Примітки:
Уключає тільки документи тривалого користування
(нормативно-правові акти Національного банку України та
роз'яснення з питань захисту інформації).
У колонці 7 за потреби робляться короткі робочі записи про
факти втрати контролю за засобами захисту інформації тощо.

13.5. Департамент інформаційної безпеки на підставі повідомлення регіонального підрозділу Департаменту інформаційної безпеки вирішує питання про надання організації необхідних засобів захисту і документів, що регламентують правила інформаційної безпеки під час роботи з ними, у робочому порядку.

Розділ 3. Перелік таємних ключів, які генерувалися в
організації відповідальними особами:

(Пункт 13.5 глави 13 в редакції Постанови Національного банку N 439 від 07.07.2015)

-------------------------------------------------------------------
| N | Назва | Назва |Дата і підпис| Дата і | Дата |Приміки|
|з/п|таємного| файла | відпові- | підпис | і підпис | |
| | ключа |таємного| дальної | відпові- | відпові- | |
| | | ключа |особи, яка | дальної | дальної | |
| | |(або N | генерувала |особи, яка|особи, яка| |
| | |Touch |або копіювала|знищувала |виконувала| |
| | |Memory) |та отримала | таємний |вилучення | |
| | | |таємний ключ | ключ |відкритого| |
| | | | | | ключа з | |
| | | | | | таблиці | |
| | | | | |відкритих | |
| | | | | | ключів | |
|---+--------+--------+-------------+----------+----------+-------|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
|---+--------+--------+-------------+----------+----------+-------|
| | | | | | | |
-------------------------------------------------------------------

13.6. Засоби захисту для організації виготовляються Департаментом інформаційної безпеки на замовлення регіонального підрозділу Департаменту інформаційної безпеки. Замовлення на виготовлення засобів захисту інформації має подаватися не пізніше ніж за 10 календарних днів до включення організації до Довідника учасників СЕП.

Примітка. У колонці 7 за потреби робляться короткі робочі
записи.

(Пункт 13.6 глави 13 доповнено новим абзацом першим згідно з Постановою Національного банку N 439 від 07.07.2015)

Розділ 4. Перелік осіб, які мають допуск до приміщення з
АРМ-СЕП/АРМ-НБУ:

Завершальним етапом підготовки організації до включення в СЕП є генерація і сертифікація ключів для АРМ-СЕП, що мають проводитися за один робочий день до включення організації до довідника учасників СЕП.

------------------------------------------------------------------
| N |Прізвище,|Функціональні| Дата, N | Дата, N | Примітки |
|з/п|ініціали | обов'язки |документа |документа | |
| | | |про допуск | про | |
| | | | |скасування | |
| | | | | допуску | |
|---+---------+-------------+-----------+-----------+------------|
| 1 | 2 | 3 | 4 | 5 | 6 |
|---+---------+-------------+-----------+-----------+------------|
| | | | | | |
------------------------------------------------------------------

Глава 14. Повернення засобів захисту

Примітка. У колонці 6 за потреби робляться короткі робочі
записи.

14.1. Організація зобов'язана повернути засоби захисту до регіонального підрозділу Департаменту інформаційної безпеки в разі:

Розділ 5. Перелік ключів від сейфів (металевих шаф)
відповідальних осіб, у яких зберігаються засоби захисту інформації
Національного банку України:

а) ліквідації;

------------------------------------------------------------------
| N | Призначення | N ключа |Прізвище, ініціали |Примітки |
|з/п | ключа | | відповідальної | |
| | | | особи, у якої | |
| | | |зберігається ключ | |
|----+----------------+------------+-------------------+---------|
| 1 | 2 | 3 | 4 | 5 |
|----+----------------+------------+-------------------+---------|
| | | | | |
------------------------------------------------------------------

б) припинення роботи із засобами захисту;

Примітка. У колонці 5 за потреби робляться короткі робочі
записи.

в) виявлення порушень в організації захисту електронних банківських документів.

Розділ 6. Перелік особистих печаток (штампів, пломбіраторів)
відповідальних осіб для опечатування засобів захисту інформації
Національного банку України:

14.2. Організація зобов'язана повернути АКЗІ разом із СК до регіонального підрозділу Департаменту інформаційної безпеки в разі її ліквідації або отримання від Департаменту інформаційної безпеки Національного банку листа з вимогою повернення засобів захисту протягом трьох робочих днів згідно з актом про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 4), один примірник якого зберігає регіональний підрозділ Департаменту інформаційної безпеки Національного банку, другий - організація.

------------------------------------------------------------------
| N | N печатки |Прізвище, ініціали| Примітки |
|з/п | | відповідальної | |
| | | особи | |
|----+------------------+------------------+---------------------|
| 1 | 2 | 3 | 4 |
|----+------------------+------------------+---------------------|
| | | | |
------------------------------------------------------------------

(Пункт 14.2 глави 14 в редакції Постанови Національного банку N 439 від 07.07.2015)

Примітка. У колонці 4 за потреби робляться короткі робочі
записи.

14.3. Організація у випадках, передбачених підпунктом "б" пункту 14.1 цієї глави, зобов'язана:

Розділ 7. Облік приймання-передавання засобів захисту
інформації Національного банку України, за які несе
відповідальність адміністратор захисту інформації:

а) повідомити регіональний підрозділ Департаменту інформаційної безпеки про передбачувані строки і порядок виходу організації із СЕП або переходу на іншу модель роботи, погодити перелік засобів захисту, журналів, які підлягають поверненню до регіонального підрозділу Департаменту інформаційної безпеки, передаванню до архіву організації або знищенню на місці;

------------------------------------------------------------------
| Назва, |Дата, час| Підпис |Дата, час | Підпис |
|версія, дата |отримання|адміністра-|отримання | адміністратора |
|виготовлення | | тора | | захисту |
| засобів | | захисту | | інформації 2-ї |
| захисту | |інформації | | зміни |
| інформації | | 1-ї зміни | | |
|-------------+---------+-----------+----------+-----------------|
| 1 | 2 | 3 | 4 | 5 |
|-------------+---------+-----------+----------+-----------------|
| | | | | |
------------------------------------------------------------------

б) ужити заходів щодо повернення до регіонального підрозділу Департаменту інформаційної безпеки, знищення на місці і передавання до архіву організації засобів захисту, справ, журналів обліку зі складанням акта приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 4) та/або супровідного листа про повернення ПМГК та акта про повернення до регіонального підрозділу Департаменту інформаційної безпеки, знищення і передавання до архіву засобів захисту інформації Національного банку, справ і журналів обліку (додаток 11);

Примітка. Відмітки про приймання-передавання засобів захисту
інформації Національного банку України робляться щодня в разі
двозмінної роботи адміністратора захисту інформації і за потреби -
у разі однозмінної його роботи (у зв'язку з відсутністю основного
адміністратора захисту інформації - відпустка, навчання, хвороба
тощо).

в) надіслати до регіонального підрозділу Департаменту інформаційної безпеки вищезазначені документи, один примірник яких зберігає регіональний підрозділ Департаменту інформаційної безпеки, другий - організація.

Розділ 8. Облік приймання-передавання таємних ключів
відповідальних осіб, які зберігаються в адміністратора захисту
інформації організації:

(Пункт 14.3 глави 14 в редакції Постанови Національного банку N 439 від 07.07.2015)

------------------------------------------------------------------
| N | Назва файла | Час | Підпис | Час | Підпис |Примітки|
|з/п| таємного | отри- | відпові- |повер-|адміністра-| |
| |ключа (або N | мання | дальної |нення | тора | |
| |Touch Memory)| | особи | | захисту | |
| | | | | |інформації | |
|---+-------------+-------+----------+------+-----------+--------|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
|---+-------------+-------+----------+------+-----------+--------|
| | | | | | | |
------------------------------------------------------------------

14.4. У випадках проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, під час якої можуть виникнути умови втрати контролю за засобами захисту, питання про доцільність повернення або знищення засобів захисту і відповідного програмного забезпечення має вирішуватися залежно від ситуації, що склалася.

Примітки:
Не враховуються таємні ключі тих операторів робочих і
технологічних місць САБ, які зберігають власні таємні ключі в
особистих сейфах.
Якщо оператор (операціоніст) не отримав власного таємного
ключа для роботи, то в колонках 3 і 4 ставиться прочерк.
Якщо строк дії таємного ключа закінчився, то в колонках 5 і 6
робиться відмітка про це.
У разі потреби допускається ведення не загального обліку
таємних ключів, а індивідуального - за кожною відповідальною
особою.
Допускається зберігання облікових форм у швидкозшивачах. У
цьому разі швидкозшивач є додатком до журналу обліку.
У колонці 7 за потреби робляться короткі робочі записи.

Глава 15. Порядок використання і зберігання засобів
захисту в разі виникнення надзвичайних ситуацій

Розділ 9. Облік перевірок дотримання правил використання і
зберігання засобів захисту інформації Національного банку України,
проведених адміністратором захисту інформації організації:

15.1. Організація зобов'язана вжити заходів для усунення загрози втрати засобів захисту, електронних архівів, комп'ютерної техніки тощо в разі виникнення надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо). Дії працівників організації, які використовують засоби захисту, регламентуються відповідним документом, що складений у довільній формі, підписаний керівником організації і зберігається у справі N 1 адміністратора захисту інформації. Особи, які працюють із засобами захисту, повинні зберігати виписку з цього документа на своїх робочих місцях.

------------------------------------------------------------------
| N | Дата | Порушення |Опис порушення | Підпис |
|з/п| перевірки |виявлено/не| | адміністратора |
| | | виявлено | |захисту інформації|
|---+-------------+-----------+---------------+------------------|
| 1 | 2 | 3 | 4 | 5 |
|---+-------------+-----------+---------------+------------------|
| | | | | |
------------------------------------------------------------------

15.2. Організація має право забезпечити роботу протягом одного робочого дня в приміщенні іншої організації за попереднім узгодженням з регіональним підрозділом Департаменту інформаційної безпеки і дотриманням правил використання і зберігання засобів захисту в разі виникнення аварійної ситуації (відключення електроживлення, пошкодження ліній зв'язку тощо). Організація в такому випадку зобов'язана видати розпорядчий документ про це, копія якого надсилається до регіонального підрозділу Департаменту інформаційної безпеки.

Директор Департаменту інформатизації А.С.Савченко

15.3. Організація має право визначити тимчасовий порядок використання та зберігання засобів захисту за попереднім погодженням з регіональним підрозділом Департаменту інформаційної безпеки за необхідності (ремонтні роботи, переведення АРМ-СЕП/АРМ-НБУ в інше приміщення тощо). Організація в такому випадку зобов'язана видати розпорядчий документ про це, копія якого надсилається до регіонального підрозділу Департаменту інформаційної безпеки.

Додаток 4
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

15.4. Організація зобов'язана в разі виявлення фактів компрометації засобів захисту під час перевірки її діяльності правоохоронними органами проінформувати:

ЗАТВЕРДЖЕНО
Начальник (заступник
начальника) Управління
Національного банку
України в __________________
[Директор (заступник
директора) Центральної
розрахункової палати
Національного банку України]
____________________________
(підпис, ініціали, прізвище)

"___" ___________ 200_ р.

М.П.

АКТ
про приймання-передавання засобів захисту
інформації Національного банку України
(Зразок)

регіональний підрозділ Департаменту інформаційної безпеки про вищезазначене.

м. _____________ "___" _________ 200_ р. Представник служби захисту інформації Управління Національного банку України в __________________/Центральної розрахункової палати Національного банку України __________________________________________________________________ (ініціали, прізвище) та представник ___________________________________________________ (найменування організації) __________________________________________________________________ (ініціали, прізвище) відповідно до договору від _________________ N _________ здійснили передавання таких засобів захисту інформації Національного банку України: апаратури криптографічного захисту N _________ - 1; смарт-карток N ___________ - 2; паспорта - 1; упаковки - 1; програмного модуля генерації ключів версії ___________. Примітка. Подається перелік засобів захисту інформації Національного банку України, що передаються з наданням номерів, які візуально доступні для зчитування на засобах захисту інформації. Здав ____________________________ (підпис, ініціали, прізвище) Прийняв _________________________ (підпис, ініціали, прізвище)

Глава 16. Порядок інформування регіонального
підрозділу Департаменту інформаційної безпеки

Директор Департаменту інформатизації А.С.Савченко

16.1. Організація зобов'язана протягом одного робочого дня телефоном та протягом трьох робочих днів у листі інформувати регіональний підрозділ Департаменту інформаційної безпеки в таких випадках:

Додаток 5
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

а) виконання (спроби виконання) фіктивного платіжного документа;

ЖУРНАЛ приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (Зразок)

б) компрометація засобів захисту;

--------------------------------------------------------------------------- |Дата| Час |Ініціали,| Час |Прізвище,| Час |Ініціали,| N | | |отримання|прізвище,|отримання| підпис |повернення|прізвище,|печатки| | |засобів |підпис |засобі в |адмініст-| засобі в |підпис | | | |захисту |адмініс- |захист у | ратора | захист у |адмініст-| | | |із сейфа |тратора |від 1-ї |АРМ-СЕП/ | до сейфа |ратора | | | | |АРМ-СЕП/ | зміни |АРМ-НБУ | |АРМ-СЕП/ | | | | |АРМ-НБУ | |2-ї зміни| |АРМ-НБУ | | | | |1-ї зміни| | | |2-ї зміни| | |----+---------+---------+---------+---------+----------+---------+-------| | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | |----+---------+---------+---------+---------+----------+---------+-------| | | | | | | | | | ---------------------------------------------------------------------------

в) пошкодження засобів захисту;

Примітка. Робляться записи про всі зміни засобів захисту інформації Національного банку України АРМ-СЕП/АРМ-НБУ.

Директор Департаменту інформатизації А.С.Савченко

Додаток 6
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

ЗАТВЕРДЖЕНО Керівник (заступник керівника) організації ____________________________ (підпис, ініціали, прізвище) "___" ___________ 200_ р. М.П.

(Пункт 16.1 глави 16 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

АКТ про знищення засобів захисту інформації Національного банку України (Зразок)

16.2. Організація зобов'язана проводити попереднє узгодження з регіональним підрозділом Департаменту інформаційної безпеки в таких випадках:

м. __________ "___" _________ 200_ р. Я, ___________________________________________, адміністратор (прізвище, ім'я, по батькові) захисту інформації відповідно до листа Управління Національного банку України в ______________________________________/Центральної розрахункової палати Національного банку України від "___" ________ 200_ р. N _____ знищив копію програмного модуля генерації ключів (версія ________, дата виготовлення ____________) згідно з Правилами організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженими постановою Правління Національного банку України від __.__.2007 N _________, зареєстрованими в Міністерстві юстиції України ___._____.2007 за N ________. Адміністратор захисту інформації ____________________________ (підпис, ініціали, прізвище)

а) переведення АРМ-СЕП (у тому числі й тимчасово) в інше приміщення;

Директор Департаменту інформатизації А.С.Савченко

б) забезпечення роботи АРМ-СЕП поза межами організації;

Додаток 7
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

в) виникнення інших нестандартних ситуацій.

ЕЛЕКТРОННА ПОШТА

16.3. Організація зобов'язана повідомляти регіональний підрозділ Департаменту інформаційної безпеки протягом трьох робочих днів про:

Найменування організації Управління Національного банку України в ____________ (Центральна розрахункова палата Національного банку України)

(Абзац перший пункту 16.3 глави 16 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

_________________________ (дата, N документа)

Просимо надати новий програмний модуль генерації ключів у зв'язку із звільненням (переведенням на іншу посаду) адміністратора захисту інформації ________________________________ (ініціали, прізвище)

[або у зв'язку з утратою (компрометацією) діючого програмного модуля генерації ключів]. Після вивчення всіх обставин копії матеріалів службового розслідування будуть надіслані на вашу адресу. Керівник (заступник керівника) організації ____________________________ (підпис, ініціали, прізвище) Виконавець ____________________ (ініціали, прізвище) роб.тел. ______________________

в) отримання засобів захисту, що надсилаються регіональним підрозділом Департаменту інформаційної безпеки засобами спецзв'язку (з повідомленням про це за допомогою електронної пошти);

Директор Департаменту інформатизації А.С.Савченко

Додаток 8
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

ґ) позапланову заміну ПМГК (з наданням відповідного листа).

ЗОБОВ'ЯЗАННЯ (Зразок)

Глава 17. Контроль за організацією захисту інформації в організації

Я, _________________________________________________________, (посада, прізвище, ім'я, по батькові) який призначений згідно з розпорядчим документом __________________________________________________________________ (найменування організації) від "___" ________ 200_ р. N ____________ виконувати обов'язки _____________________________________________ (адміністратора АРМ-СЕП/АРМ-НБУ, _________________________________________________________________, операціоніста, оператора АРМ бухгалтера САБ, технологічних і робочих місць) ознайомлений з правилами використання засобів захисту інформації під час роботи з електронними банківськими документами і зобов'язуюся: 1. Виконувати правила використання та зберігання власних таємних ключів і дотримуватися технології оброблення електронних банківських документів. 2. Не передавати іншим особам власні таємні ключі. 3. Не розголошувати мережеві паролі, паролі входу до САБ/інших задач і пароль свого таємного ключа. 4. У разі спроби інших осіб отримати від мене засоби захисту інформації, підозри щодо втрати контролю за своїми таємними ключами або їх втрати негайно повідомити про це адміністратора захисту інформації організації. 5. У разі звільнення з роботи в останній день роботи повернути адміністратору захисту інформації організації всі засоби захисту інформації, ключі від сейфів, особисті печатки тощо. 6. Забезпечувати конфіденційність системи захисту інформації організації. Я, _________________________________, попереджений про те, що (прізвище, ім'я, по батькові) всі електронні банківські документи, які мають електронний цифровий підпис, зроблений з використанням мого таємного ключа, уважаються підтвердженими мною, а електронний цифровий підпис - накладеним мною. ______________________________ (дата, підпис) Знання правил використання та зберігання таємних ключів перевірено. Адміністратор захисту інформації організації ____________________________ (підпис, ініціали, прізвище)

17.1. Контроль за організацією захисту інформації відповідно до вимог нормативно-правових актів Національного банку у діяльності організації забезпечують:

Директор Департаменту інформатизації А.С.Савченко

(Абзац перший пункту 17.1 глави 17 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Додаток 9
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

керівник організації (особа, яка виконує його обов'язки);

ЗОБОВ'ЯЗАННЯ адміністратора захисту інформації (Зразок) ______________________________________ (найменування організації)

Я, ________________________________________, який призначений (посада, прізвище, ім'я, по батькові) згідно з розпорядчим документом __________________________________ (найменування організації) від "___" _____________ 200_ р. N ________ адміністратором захисту інформації організації, ознайомлений з правилами використання, зберігання й обліку засобів захисту інформації та інформаційної безпеки під час роботи з електронними банківськими документами і зобов'язуюся: 1. Забезпечувати та контролювати виконання режимних вимог до приміщень, у яких обробляються електронні документи, використовуються і зберігаються засоби захисту інформації Національного банку України. 2. Забезпечувати отримання, зберігання, облік і постійний контроль за використанням засобів захисту інформації Національного банку України. 3. Виконувати правила використання і зберігання засобів захисту інформації Національного банку України та здійснювати постійний контроль за технологією оброблення електронних банківських документів. 4. Знати нормативно-правові акти Національного банку України з питань захисту інформації та здійснювати контроль за їх виконанням відповідальними особами. 5. Надавати інформацію щодо захисту інформації службі захисту інформації територіального управління/Центральної розрахункової палати Національного банку України на її запити. 6. Підтримувати зв'язок з територіальним управлінням/Центральною розрахунковою палатою Національного банку України з питань захисту інформації. 7. Передати всі засоби захисту інформації, ключі від сейфів, особисті печатки тощо в установленому порядку в останній день роботи у разі звільнення з роботи. 8. Забезпечувати конфіденційність системи захисту інформації організації, постійно вживати заходів щодо підвищення рівня захищеності інформації в організації. ______________________________ (дата, підпис) Знання Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затверджених постановою Правління Національного банку України від __.__.2007 N _____, зареєстрованих у Міністерстві юстиції України __.__.2007 за N ________, та інших нормативно-правових актів Національного банку України з питань захисту інформації перевірено. Від Управління Національного банку України в ______________ (Від Центральної розрахункової палати Національного банку України) ____________________________ (підпис, ініціали, прізвище)

17.2. Контроль за станом засобів захисту в організації забезпечує адміністратор захисту інформації.

Директор Департаменту інформатизації А.С.Савченко

17.3. Адміністратор захисту інформації зобов'язаний не рідше одного разу на квартал проводити планові перевірки використання засобів захисту відповідальними особами організації.

Додаток 10
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

ТАБЛИЦЯ
суміщення функціональних обов'язків

---------------------------------------------------------------------------------------------------------------
|Функціональні |Адмініс- |Адмініс-|Оператор|Оператор |Опера- |Оператори|Адмініс-|Відпові-|Адмініс- |Адмініс- |
| обов'язки |тратор |тратор |АРМ |АРМ |ціоніст|АРМ |тратор |дальний |тратор |тратор |
| |захисту |АРМСЕП/ |бухгал- |технолога| |інформа- |САБ |за |локальної|електрон-|
| |інформації|АРМНБУ |тера |(ключ | |ційних | |розроб- |мережі |ної |
| | | |(ключ |типу А) | |задач | |лення | |пошти |
| | | |типу В) | | | | |САБ | | |
|--------------+----------+--------+--------+---------+-------+---------+--------+--------+---------+---------|
|Адміністратор | - | Х | Х | Х | Х | Х | Д | Х | Д | Д |
|захисту | | | | | | | | | | |
|інформації | | | | | | | | | | |
|--------------+----------+--------+--------+---------+-------+---------+--------+--------+---------+---------|
|Адміністратор | Х | - | Х | Д | Р | Р | Х | Х | Д | Д |
|АРМ-СЕП/ | | | | | | | | | | |
|АРМ-НБУ | | | | | | | | | | |
|--------------+----------+--------+--------+---------+-------+---------+--------+--------+---------+---------|
|Оператор АРМ | Х | Х | - | Х | Х | Р | Х | Х | Д | Д |
|бухгалтера | | | | | | | | | | |
|(ключ типу В) | | | | | | | | | | |
|--------------+----------+--------+--------+---------+-------+---------+--------+--------+---------+---------|
|Оператор АРМ | Х | Д | Х | - | Х | Р | Р | Х | Д | Д |
|технолога | | | | | | | | | | |
|(ключ типу А) | | | | | | | | | | |
|--------------+----------+--------+--------+---------+-------+---------+--------+--------+---------+---------|
|Операціоніст | Х | Р | Х | Х | - | Р | Х | Х | Д | Д |
|--------------+----------+--------+--------+---------+-------+---------+--------+--------+---------+---------|
|Оператори АРМ | Х | Р | Р | Р | Р | - | Р | Р | Р | Р |
|інформаційних | | | | | | | | | | |
|задач | | | | | | | | | | |
|--------------+----------+--------+--------+---------+-------+---------+--------+--------+---------+---------|
|Адміністратор | Д | Х | Х | Р | Х | Р | - | Д | Р | Р |
|САБ | | | | | | | | | | |
|--------------+----------+--------+--------+---------+-------+---------+--------+--------+---------+---------|
|Відповідальний| Х | Х | Х | Х | Х | Р | Д | - | Х | Х |
|за розроблення| | | | | | | | | | |
|САБ | | | | | | | | | | |
|--------------+----------+--------+--------+---------+-------+---------+--------+--------+---------+---------|
|Адміністратор | Д | Д | Д | Д | Д | Р | Р | Х | - | Р |
|локальної | | | | | | | | | | |
|мережі | | | | | | | | | | |
|--------------+----------+--------+--------+---------+-------+---------+--------+--------+---------+---------|
|Адміністратор | Д | Д | Д | Д | Д | Р | Р | Х | Р | - |
|електронної | | | | | | | | | | |
|пошти | | | | | | | | | | |
---------------------------------------------------------------------------------------------------------------

17.4. Регіональний підрозділ Департаменту інформаційної безпеки мають право здійснювати перевірку використання і зберігання засобів захисту.

Примітки:
Р - суміщення обов'язків дозволено.
Д - суміщення можливе як виняток.
Х - суміщення обов'язків не дозволено.

17.5. Працівник регіонального підрозділу Департаменту інформаційної безпеки, який здійснює перевірку, зобов'язаний мати при собі документи, які підтверджують його особу, і розпорядження про проведення перевірки.

Директор Департаменту інформатизації А.С.Савченко

17.6. Перевірка здійснюється в присутності посадової особи, призначеної керівником організації.

Додаток 11
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

17.7. Працівник регіонального підрозділу Департаменту інформаційної безпеки зобов'язаний під час перевірки застосовувати нормативно-правові акти Національного банку.

ПОГОДЖЕНО ЗАТВЕРДЖЕНО
Начальник (заступник начальника) Керівник (заступник
Управління Національного банку керівника) організації
України в ______________________ ____________________________
[Директор (заступник директора) (підпис, ініціали, прізвище)
Центральної розрахункової палати
Національного банку України] "___" ___________ 200_ р.
______________________________
(підпис, ініціали, прізвище) М.П.

"___" ___________ 200_ р.

М.П.

17.8. Працівник регіонального підрозділу Департаменту інформаційної безпеки, який здійснює перевірку, має право:

АКТ
про повернення до територіального
управління/Центральної розрахункової палати
Національного банку України, знищення
і передавання до архіву засобів захисту
інформації Національного банку України,
справ і журналів обліку
(Зразок)

м. __________ "___" _________ 200_ р.
У зв'язку з припиненням роботи ______________________________
(найменування організації)

з "______" ___________________ 200_ р. у СЕП/інформаційних задачах
Національного банку України і дії договору про використання
засобів захисту інформації Національного банку України в
інформаційних задачах від "___" __________ 200__ р. N ________
або:
У зв'язку зі зміною моделі роботи ___________________________
(найменування організації)

у СЕП з "___" ________ 200_ р. і припиненням дії договору про
використання засобів захисту інформації Національного банку
України в інформаційних задачах від "____" _____________ 200_ р.
N _________ нами вжито таких заходів:

1. До територіального управління/Центральної розрахункової
палати Національного банку України повернено:
апаратуру криптографічного захисту інформації N ________ у
комплекті;
смарт-картки N _________;
програмний модуль генерації ключів (версія ________, дата
виготовлення __________).

2. Знищені на місці:
копія програмного модуля генерації ключів (версія __________,
дата виготовлення __________);
таємний ключ АРМ-СЕП s_*300.*;
копія таємного ключа АРМ-СЕП s_*300.*;
таємні ключі АРМ бухгалтера
s_*.* (перелік усіх ключів) - усього ___ ключів;
копії таємних ключів АРМ бухгалтера
s_*.* (перелік усіх ключів) - усього ___ ключів;
таємні ключі операціоністів - усього ___ ключів;
програмний комплекс АРМ-СЕП;
таємний ключ АРМ-НБУ s_*500.*;
копія таємного ключа АРМ-НБУ s_*500.*;
програмний комплекс АРМ-НБУ;
відкриті ключі АРМ-СЕП, АРМ бухгалтера САБ, таблиці відкритих
ключів АРМ-СЕП, АРМ бухгалтера та інших робочих місць САБ, файли
сертифікатів відкритих ключів для роботи в СЕП.

3. Передані в архів ________________________________________:
(найменування організації)

справи і журнали обліку адміністратора захисту інформації;
журнали обліку АРМ-СЕП;
електронні архіви електронних платежів і відкритих ключів
операціоністів.

4. Копій знищених і переданих документів, програм, засобів
захисту інформації Національного банку України немає.

Адміністратор захисту
інформації організації ____________________________
(підпис, ініціали, прізвище)

ПОГОДЖЕНО:

Служба захисту інформації
територіального
управління/Центральної
розрахункової палати
Національного банку України ____________________________
(підпис, ініціали, прізвище)

б) відвідувати приміщення з АРМ-СЕП/АРМ-НБУ, вивчати умови зберігання засобів захисту;

Директор Департаменту інформатизації А.С.Савченко

Додаток 12
до Правил організації
захисту електронних
банківських документів
з використанням засобів
захисту інформації
Національного банку України

ПОГОДЖЕНО ЗАТВЕРДЖЕНО
Керівник (заступник керівника) Начальник
організації (заступник начальника)
______________________________ Управління Національного
(підпис, ініціали, прізвище) банку України в
____________________________
"___" ___________ 200_ р. [Директор
(заступник директора)
М.П. Центральної розрахункової
палати Національного
банку України]
____________________________
(підпис, ініціали, прізвище)

"___" ___________ 200_ р.

М.П.

АКТ
про проведення перевірки організації
захисту електронних банківських документів
з використанням засобів захисту інформації
Національного банку України
у ______________________________
(найменування організації)
(Зразок)

м. ___________ "___"___________ 200_ р.
Комісія в такому складі:
представник служби захисту інформації територіального
управління/Центральної розрахункової палати Національного банку
України _________________________________,
(ініціали, прізвище)

адміністратор захисту інформації ___________________________,
(ініціали, прізвище)

адміністратор АРМ-СЕП/АРМ-НБУ ______________________________,
(ініціали, прізвище)

адміністратор САБ ___________________________________________
(ініціали, прізвище)

провела планову перевірку організації захисту електронних
банківських документів з використанням засобів захисту інформації
Національного банку України.
Перевірка здійснювалася на підставі Інструкції про
міжбанківський переказ коштів в Україні в національній валюті,
затвердженої постановою Правління Національного банку України від
16.08.2006 N 320, зареєстрованої в Міністерстві юстиції України
06.09.2006 за N 1035/12909, і Правил організації захисту
електронних банківських документів з використанням засобів захисту
інформації Національного банку України, затверджених постановою
Правління Національного банку України від __.__.2007 N _______,
зареєстрованих у Міністерстві юстиції України __.__.2007
за N ________.
Під час проведення перевірки встановлено:

1. Виконання режимних вимог до приміщень.

1.1. Приміщення, у яких розташоване/і АРМ-СЕП/АРМ-НБУ, мають
такі характеристики:
ізольоване приміщення _____ (так/ні);
має міцні стіни, стелю та підлогу ______ (так/ні);
на вікнах установлені ґрати ______ (так/ні);
_________________________________________________________________;
(якщо немає, то зазначити причину)

двері до службового приміщення:
обладнані кодовим замком _________ (так/ні);
обладнані місцем для опечатування _________ (так/ні);
обладнані стандартною сигналізацією:
пожежною _________ (так/ні);
охоронною з двома рубежами захисту _________ (так/ні);
_________________________________________________________________;
(якщо немає, то зазначити причину)

на посту охорони є інструкція про дії охорони в разі
спрацювання сигналізації, пожежі, стихійного лиха тощо
_________ (так/ні).

1.2. У приміщенні розташовані такі програмні комплекси:
_________________________________________________________________.
(зазначити, які саме)

1.3. У приміщенні є сейфи (металеві шафи) для зберігання
засобів захисту інформації, документів до них у неробочий час
_______ (так/ні).

1.4. Ключі від сейфів і печатки для опечатування
зареєстровані в журналі обліку адміністратора захисту
інформації _________ (так/ні).

1.5. Приміщення розташоване та обладнане так, щоб
унеможливити безконтрольне поширення інформації про електронні
банківські документи та засоби захисту інформації (акустично,
візуально) за межі приміщення або організації (контрольованої
території) ________ (так/ні).

17.9. Регіональний підрозділ Департаменту інформаційної безпеки проводить планові (не рідше одного разу на два роки) і позапланові перевірки.

1.6. Усі працівники організації, які мають постійний допуск
до приміщення з АРМ-СЕП/АРМ-НБУ, призначені згідно з наказом
організації _________ (так/ні).

1.7. Розміщення сервера САБ, вузла електронної пошти, АРМ
бухгалтера САБ __________________________________________________.
(зазначити місце їх розташування)

1.8. Розміщення робочого місця адміністратора захисту
інформації, наявність сейфа та його розміщення
_________________________________________________________________.
(зазначити місце їх розташування)

1.9. Розміщення робочих місць АРМ бухгалтера САБ
_________________________________________________________________.
(зазначити місце їх розташування)

1.10. Розміщення інших робочих і технологічних місць САБ та
інформаційних задач _____________________________________________.
(зазначити недоліки, якщо вони є)

2. Засоби захисту інформації та робота з ними.

2.1. Використовуються такі засоби захисту інформації:
апаратура криптографічного захисту інформації N ____________;
смарт-картки N _______________;
програмний модуль генерації ключів _________________________;
інші _______________________________________________________;
таємні ключі, записані на дискету (Touch Memory),
_________________________________________________________________.

2.2. Умови зберігання засобів захисту інформації
АРМ-СЕП/АРМ-НБУ (сейф для зберігання засобів захисту інформації,
що розміщений у приміщенні з АРМ-НБУ, наявність журналу обліку
засобів захисту АРМ-НБУ, правильність його заповнення).

2.3. Наявність голографічної наклейки на апаратурі
криптографічного захисту інформації ________ (так/ні).

2.4. Для програмного комплексу АРМ-СЕП/АРМ-НБУ застосовуються
вимоги щодо ПЕОМ:
операційна система WINDOWS XP з відповідними настройками;
наявність антивірусних програм та їх використання __________;
наявність іншого програмного забезпечення __________________.

2.5. Наявність резервних джерел живлення
(UPS, дизель-генератор) ________ (так/ні).

2.6. Умови зберігання програмного модуля генератора ключів та
його робочої копії ______________________________________________.

2.7. Кількість таємних ключів, які одночасно використовуються
в організації ___________________________________________________.

2.8. Наявність умов для генерації ключів
_________________________________________________________________.
(зазначити недоліки умов, якщо вони є)

2.9. Умови зберігання таємних ключів відповідальними
виконавцями (у власних сейфах, у сейфі адміністратора захисту
інформації тощо). У разі потреби може бути проведена перевірка
виконання умов використання і зберігання таємних ключів на робочих
місцях.

2.10. Наявність випадків втрати контролю за таємними ключами
або їх втрати, заходи, що були вжиті для запобігання повторенню
таких випадків, _________________________________________________.

2.11. В організації використовується САБ ___________________, версія _____________________, розробник _________________________. 2.12. В організації використовується система "клієнт-банк" ___________________________, версія ___________________, розробник _____________________. До системи підключено _______________ клієнтів. 2.13. Організація має _____ безбалансових відділень та ______ віддалених робочих місць, у яких використовується програмне забезпечення __________________, розробник ______________________. 3. Призначення відповідальних за роботу із засобами захисту інформації осіб. 3.1. Усі особи, відповідальні за роботу із засобами захисту інформації, призначені згідно з розпорядчим документом організації. Виявлено такі недоліки: ____________________________. (зазначити, які саме) 3.2. Наявність випадків суміщення обов'язків _________________________________________________________________. (зазначити, які саме) 3.3. Наявність підписаних відповідальними особами зобов'язань для всіх осіб, які використовують засоби захисту інформації, ________ (так/ні). 3.4. Наявність особистих печаток (штампів тощо) для опечатування засобів захисту інформації, сейфів тощо ______ (так/ні). 3.5. Вибіркова перевірка знань нормативно-правових актів з питань захисту інформації відповідальними особами виявила такі недоліки: _______________________________________________________. (зазначити, які саме) 4. Організація діловодства з питань захисту інформації. 4.1. Наявність: справи N 1 адміністратора захисту інформації; справи N 2 адміністратора захисту інформації; журналу обліку адміністратора захисту інформації. 4.2. Під час перевірки наявності потрібних документів у справі N 1 виявлено такі недоліки: ______________________________. (зазначити, які саме) 4.3. Під час перевірки наявності потрібних документів у справі N 2 виявлено такі недоліки: ______________________________. (зазначити, які саме) 4.4. Під час перевірки ведення журналу обліку адміністратора захисту інформації, наявності всіх необхідних розділів відповідно до Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затверджених постановою Правління Національного банку України від ___.___.2007 N ________, зареєстрованих у Міністерстві юстиції України ___.___.2007 за N _______, виявлено такі недоліки: _________________________________________________________________. (зазначити, які саме) 4.5. Під час перевірки наявності архівів роботи АРМ-СЕП/АРМ-НБУ, які включають арбітражні журнали роботи АРМ-НБУ та захищений від модифікації протокол роботи, і архівів відкритих ключів операціоністів, які генерувалися в організації, виявлено такі недоліки: __________________________________________________. (зазначити, які саме)

17.10. За результатами перевірки складається довідка про проведення перевірки організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України (додаток 12) у двох примірниках. Регіональний підрозділ Департаменту інформаційної безпеки зберігає один примірник цієї довідки, організація - другий.

Висновки 1. Недоліки _________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ _________________________________________________________________. 2. Строки усунення _________________________________________. 3. Рекомендації _____________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ _________________________________________________________________. Підписи членів комісії: ____________________________ (підпис, ініціали, прізвище) ____________________________ (підпис, ініціали, прізвище) ____________________________ (підпис, ініціали, прізвище) З актом ознайомлені: ____________________________ (підпис, ініціали, прізвище) ____________________________ (підпис, ініціали, прізвище)

(Пункт 17.10 глави 17 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Примітка. Якщо організація працює лише в інформаційних задачах, то пункти перевірки, що стосуються системи електронних платежів, з акта виключаються.

(Главу 18 виключено на підставі Постанови Національного банку N 439 від 07.07.2015)

Директор Департаменту інформатизації А.С.Савченко

Директор Департаменту інформатизації А.С. Савченко

Додаток 1
до Правил організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

Договір N ______
про використання засобів захисту інформації
Національного банку України в інформаційних задачах

(Додаток 1 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Договір N ______ про використання засобів захисту інформації Національного банку України в інформаційних задачах (Додаток 1) (зі змінами від 07.07.2015 р.) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Директор Департаменту інформатизації А.С. Савченко

Додаток 2
до Правил організації захисту електронних
банківських документів з використанням
засобів захисту інформації Національного банку України

Орієнтовний перелік
порушень в організації роботи із засобами захисту
інформації Національного банку України

4. Допуск адміністратора захисту інформації або адміністратора САБ до оброблення електронних платежів.

5. Порушення правил генерації, використання та зберігання таємних ключів.

Директор Департаменту інформатизації А.С. Савченко

Додаток 3
до Правил організації захисту електронних
банківських документів з використанням
засобів захисту інформації Національного банку України

Журнал
обліку адміністратора захисту інформації

Зразок

Розділ 1. Перелік відповідальних за роботу із засобами захисту інформації Національного банку України осіб:

N з/п Прізвище, ініціали відповідальної особи Функціональні обов'язки Дата і номер розпорядчого документа про призначення Дата і номер розпорядчого документа про звільнення від функціональних обов'язків Примітки

1 2 3 4 5 6

__________

Розділ 2. Перелік нормативно-правових актів і засобів захисту інформації Національного банку України:

Примітка.

У колонці 6 робляться короткі робочі записи про причину звільнення відповідальної за роботу із засобами захисту особи.

Розділ 3. Перелік таємних ключів, які генерувалися в організації відповідальними особами:

N з/п Дата отримання Назва Дата копіювання Дата і підпис відповідальної особи про отримання Дата і підпис відповідальної особи про повернення Примітки

1 2 3 4 5 6 7

__________

Примітки.

Розділ 4. Перелік осіб, які мають допуск до приміщення з АРМ-СЕП/АРМ-НБУ:

Уключає тільки документи тривалого користування (нормативно-правові акти Національного банку України та роз'яснення з питань захисту інформації). У колонці 7 за потреби робляться короткі робочі записи про факти втрати контролю за засобами захисту інформації тощо.

N з/п Назва таємного ключа Назва файла таємного ключа (або N Touch Memory) Дата і підпис відповідальної особи, яка генерувала або копіювала та отримала таємний ключ Дата і підпис відповідальної особи, яка знищувала таємний ключ Дата і підпис відповідальної особи, яка виконувала вилучення відкритого ключа з таблиці відкритих ключів Приміки

1 2 3 4 5 6 7

__________

Розділ 5. Перелік ключів від сейфів (металевих шаф) відповідальних осіб, у яких зберігаються засоби захисту інформації Національного банку України:

Примітка.

У колонці 7 за потреби робляться короткі робочі записи.

Розділ 6. Перелік особистих печаток (штампів, пломбіраторів) відповідальних осіб для опечатування засобів захисту інформації Національного банку України:

N з/п Прізвище, ініціали Функціональні обов'язки Дата, N документа про допуск Дата, N документа про скасування допуску Примітки

1 2 3 4 5 6

__________

Розділ 7. Облік приймання-передавання засобів захисту інформації Національного банку України, за які несе відповідальність адміністратор захисту інформації:

Примітка.

У колонці 6 за потреби робляться короткі робочі записи.

Розділ 8. Облік приймання-передавання таємних ключів відповідальних осіб, які зберігаються в адміністратора захисту інформації організації:

N з/п Призначення ключа N ключа Прізвище, ініціали відповідальної особи, у якої зберігається ключ Примітки

1 2 3 4 5

__________

Примітка.

Розділ 9. Облік перевірок дотримання правил використання і зберігання засобів захисту інформації Національного банку України, проведених адміністратором захисту інформації організації:

У колонці 5 за потреби робляться короткі робочі записи.

N з/п N печатки Прізвище, ініціали відповідальної особи Примітки

1 2 3 4

__________

Примітка.

У колонці 4 за потреби робляться короткі робочі записи.

Назва, версія, дата виготовлення засобів захисту інформації Дата, час отримання Підпис адміністратора захисту інформації 1-ї зміни Дата, час отримання Підпис адміністратора захисту інформації 2-ї зміни

1 2 3 4 5

__________

Примітка.

Відмітки про приймання-передавання засобів захисту інформації Національного банку України робляться щодня в разі двозмінної роботи адміністратора захисту інформації і за потреби - у разі однозмінної його роботи (у зв'язку з відсутністю основного адміністратора захисту інформації - відпустка, навчання, хвороба тощо).

__________

Додаток 4
до Правил організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

Акт
про приймання-передавання засобів захисту
інформації Національного банку України

N з/п Назва файла таємного ключа (або N Touch Memory) Час отримання Підпис відповідальної особи Час повернення Підпис адміністратора захисту інформації Примітки

1 2 3 4 5 6 7

__________

(Додаток 4 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Директор Департаменту інформатизації А.С. Савченко

Примітки.

Директор Департаменту інформатизації А.С. Савченко

Не враховуються таємні ключі тих операторів робочих і технологічних місць САБ, які зберігають власні таємні ключі в особистих сейфах. Якщо оператор (операціоніст) не отримав власного таємного ключа для роботи, то в колонках 3 і 4 ставиться прочерк. Якщо строк дії таємного ключа закінчився, то в колонках 5 і 6 робиться відмітка про це. У разі потреби допускається ведення не загального обліку таємних ключів, а індивідуального - за кожною відповідальною особою. Допускається зберігання облікових форм у швидкозшивачах. У цьому разі швидкозшивач є додатком до журналу обліку. У колонці 7 за потреби робляться короткі робочі записи.

Додаток 5
до Правил організації захисту електронних
банківських документів з використанням
засобів захисту інформації Національного банку України

Журнал
приймання-передавання засобів захисту інформації Національного
банку України адміністратора АРМ-СЕП/АРМ-НБУ

Директор Департаменту інформатизації А.С. Савченко

Зразок

N з/п Дата перевірки Порушення виявлено/не виявлено Опис порушення Підпис адміністратора захисту інформації

1 2 3 4 5

Додаток 6
до Правил організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

(Додаток 6 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Акт про приймання-передавання засобів захисту інформації Національного банку України (Додаток 4) (зі змінами від 07.07.2015 р.) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Директор Департаменту інформатизації А.С. Савченко

Додаток 7
до Правил організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

Електронне повідомлення

(Додаток 7 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Директор Департаменту інформатизації А.С. Савченко

Дата Час отримання засобів захисту із сейфа Ініціали, прізвище, підпис адміністратора АРМ-СЕП/ АРМ-НБУ 1-ї зміни Час отримання засобі в захист у від 1-ї зміни Прізвище, підпис адміністратора АРМ-СЕП/ АРМ-НБУ 2-ї зміни Час повернення засобі в захист у до сейфа Ініціали, прізвище, підпис адміністратора АРМ-СЕП/ АРМ-НБУ 2-ї зміни N печатки

1 2 3 4 5 6 7 8

Додаток 8
до Правил організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

Зобов'язання

Робляться записи про всі зміни засобів захисту інформації Національного банку України АРМ-СЕП/АРМ-НБУ.

Директор Департаменту інформатизації А.С. Савченко

Додаток 9
до Правил організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

Акт
про знищення засобів захисту інформації
Національного банку України

Зобов'язання
адміністратора захисту інформації

(Додаток 9 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Директор Департаменту інформатизації А.С. Савченко

Акт про знищення засобів захисту інформації Національного банку України (Додаток 6) (зі змінами від 07.07.2015 р.) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Додаток 10
до Правил організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

Примітки.

Таблиця
суміщення функціональних обов'язків

Електронне повідомлення (Додаток 7) (зі змінами від 07.07.2015 р.) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

(Додаток 10 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Директор Департаменту інформатизації А.С. Савченко

Додаток 11
до Правил організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

Акт
про повернення до регіонального підрозділу Департаменту
інформаційної безпеки Національного банку України,
знищення і передавання до архіву засобів захисту інформації
Національного банку України, справ і журналів обліку

(Додаток 11 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Зобов'язання (Додаток 8) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Директор Департаменту інформатизації А.С. Савченко

Додаток 12
до Правил організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

Довідка
про проведення перевірки організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

(Додаток 12 із змінами, внесеними згідно з Постановою Національного банку N 439 від 07.07.2015)

Зобов'язання адміністратора захисту інформації (Додаток 9) (зі змінами від 07.07.2015 р.) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Директор Департаменту інформатизації А.С. Савченко

Примітки.

Додаток 13
до Правил організації захисту електронних
банківських документів з використанням засобів
захисту інформації Національного банку України

Договір
про використання засобів захисту інформації в системі
електронних платежів Національного банку України
(Зразок)

(Правила доповнено Додатком 13 згідно з Постановою Національного банку N 439 від 07.07.2015)

Функціональні обов'язки Адміністратор захисту інформації Адміністратор АРМ-СЕП/ АРМ-НБУ Оператор АРМ бухгалтера (ключ типу В) Оператор АРМ технолога (ключ типу А) Операціоніст Оператори АРМ інформаційних задач Адміністратор САБ Відповідальний за розроблення САБ Адміністратор локальної мережі Адміністратор електронної пошти

Адміністратор захисту інформації - Х Х Х Х Х Д Х Д Д

Адміністратор АРМ-СЕП/ АРМ-НБУ Х - Х Д Р Р Х Х Д Д

Оператор АРМ бухгалтера (ключ типу В) Х Х - Х Х Р Х Х Д Д

Оператор АРМ технолога (ключ типу А) Х Д Х - Х Р Р Х Д Д

Операціоніст Х Р Х Х - Р Х Х Д Д

Оператори АРМ інформаційних задач Х Р Р Р Р - Р Р Р Р

Адміністратор САБ Д Х Х Р Х Р - Д Р Р

Відповідальний за розроблення САБ Х Х Х Х Х Р Д - Х Х

Адміністратор локальної мережі Д Д Д Д Д Р Р Х - Р

Адміністратор електронної пошти Д Д Д Д Д Р Р Х Р -

__________

Р - суміщення обов'язків дозволено.

Д - суміщення можливе як виняток за погодженням з Департаментом інформаційної безпеки.

Х - суміщення обов'язків не дозволено.

Акт про повернення до регіонального підрозділу Департаменту інформаційної безпеки... (Додаток 11) (зі змінами від 07.07.2015 р.) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Довідка про проведення перевірки організації захисту електронних банківських документів... (Додаток 12) (зі змінами від 07.07.2015 р.) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

Договір про використання засобів захисту інформації в системі електронних платежів... (Додаток 13) для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".

N з/п	Найменування засобів захисту	Кількість
1	2	3
1	АКЗІ	1
2	СК	2
3	ПМГК	1
4	Копія ПМКГ	1
5	ТК АРМ-СЕП	1
6	ТК АРМ-НБУ	1
7	ТК АРМ бухгалтера САБ	За кількістю відповідальних осіб, але не більше 5
8	ТК технолога	За кількістю відповідальних осіб, але не більше 5
9	ТК операціоністів	За кількістю відповідальних осіб
10	ТК інших робочих та технологічних місць для інформаційних задач	За вказівками Департаменту інформаційних технологій Національного банку

N з/п	Прізвище, ініціали відповідальної особи	Функціональні обов'язки	Дата і номер розпорядчого документа про призначення	Дата і номер розпорядчого документа про звільнення від функціональних обов'язків	Примітки
1	2	3	4	5	6

N з/п	Дата отримання	Назва	Дата копіювання	Дата і підпис відповідальної особи про отримання	Дата і підпис відповідальної особи про повернення	Примітки
1	2	3	4	5	6	7

N з/п	Назва таємного ключа	Назва файла таємного ключа (або N Touch Memory)	Дата і підпис відповідальної особи, яка генерувала або копіювала та отримала таємний ключ	Дата і підпис відповідальної особи, яка знищувала таємний ключ	Дата і підпис відповідальної особи, яка виконувала вилучення відкритого ключа з таблиці відкритих ключів	Приміки
1	2	3	4	5	6	7

N з/п	Прізвище, ініціали	Функціональні обов'язки	Дата, N документа про допуск	Дата, N документа про скасування допуску	Примітки
1	2	3	4	5	6

N з/п	Призначення ключа	N ключа	Прізвище, ініціали відповідальної особи, у якої зберігається ключ	Примітки
1	2	3	4	5

N з/п	N печатки	Прізвище, ініціали відповідальної особи	Примітки
1	2	3	4

Назва, версія, дата виготовлення засобів захисту інформації	Дата, час отримання	Підпис адміністратора захисту інформації 1-ї зміни	Дата, час отримання	Підпис адміністратора захисту інформації 2-ї зміни
1	2	3	4	5

N з/п	Назва файла таємного ключа (або N Touch Memory)	Час отримання	Підпис відповідальної особи	Час повернення	Підпис адміністратора захисту інформації	Примітки
1	2	3	4	5	6	7

N з/п	Дата перевірки	Порушення виявлено/не виявлено	Опис порушення	Підпис адміністратора захисту інформації
1	2	3	4	5

Дата	Час отримання засобів захисту із сейфа	Ініціали, прізвище, підпис адміністратора АРМ-СЕП/ АРМ-НБУ 1-ї зміни	Час отримання засобі в захист у від 1-ї зміни	Прізвище, підпис адміністратора АРМ-СЕП/ АРМ-НБУ 2-ї зміни	Час повернення засобі в захист у до сейфа	Ініціали, прізвище, підпис адміністратора АРМ-СЕП/ АРМ-НБУ 2-ї зміни	N печатки
1	2	3	4	5	6	7	8

Функціональні обов'язки	Адміністратор захисту інформації	Адміністратор АРМ-СЕП/ АРМ-НБУ	Оператор АРМ бухгалтера (ключ типу В)	Оператор АРМ технолога (ключ типу А)	Операціоніст	Оператори АРМ інформаційних задач	Адміністратор САБ	Відповідальний за розроблення САБ	Адміністратор локальної мережі	Адміністратор електронної пошти
Адміністратор захисту інформації	-	Х	Х	Х	Х	Х	Д	Х	Д	Д
Адміністратор АРМ-СЕП/ АРМ-НБУ	Х	-	Х	Д	Р	Р	Х	Х	Д	Д
Оператор АРМ бухгалтера (ключ типу В)	Х	Х	-	Х	Х	Р	Х	Х	Д	Д
Оператор АРМ технолога (ключ типу А)	Х	Д	Х	-	Х	Р	Р	Х	Д	Д
Операціоніст	Х	Р	Х	Х	-	Р	Х	Х	Д	Д
Оператори АРМ інформаційних задач	Х	Р	Р	Р	Р	-	Р	Р	Р	Р
Адміністратор САБ	Д	Х	Х	Р	Х	Р	-	Д	Р	Р
Відповідальний за розроблення САБ	Х	Х	Х	Х	Х	Р	Д	-	Х	Х
Адміністратор локальної мережі	Д	Д	Д	Д	Д	Р	Р	Х	-	Р
Адміністратор електронної пошти	Д	Д	Д	Д	Д	Р	Р	Х	Р	-

Парус Iнтернет-Консультант