НАЦІОНАЛЬНИЙ БАНК УКРАЇНИ
ДЕПАРТАМЕНТ ПЛАТІЖНИХ СИСТЕМ
ЛИСТ
25.10.2002 N 25-111/1335-6616
Керівникам Операційного,
територіальних управлінь
Національного банку України
Керівникам банків України
та керівникам їх філій
Про грубі порушення банками
порядку здійснення операцій
Національний банк України неодноразово звертав увагу керівників банків на потребу забезпечення надійності банків, схоронності коштів клієнтів, а також запобігання спробам використання банківської системи для відмивання брудних грошей, недопущення здійснення платежів без законних підстав і особливо на дотримання банками вимог щодо інформаційної безпеки. Разом з тим, останнім часом було зафіксовано кілька випадків порушень банківськими установами України нормативно-правових актів Національного банку з питань захисту інформації. Викликає особливу стурбованість безвідповідальність керівників та інших посадових осіб банків щодо забезпечення належного контролю за дотриманням працівниками банку вимог цих документів. Тому звертаємо Вашу увагу на порушення, що найчастіше трапляються і є дуже небезпечними, оскільки можуть призвести до несанкціонованого відправлення платежів. Це - грубе порушення вимог Інструкції про міжбанківські розрахунки в Україні (додаток 6, розділ 3), затвердженої постановою Правління Національного банку України від 27.12.99 N 621, та Правил організації захисту електронних банківських операцій (розділ 3), затверджених постановою Правління Національного банку України від 10.06.99 N 280, зокрема, недотримання адміністративних вимог щодо безпечного використання, зберігання та обліку засобів захисту, розподілу повноважень між службовими особами банківської установи, що беруть участь в обробленні електронних розрахункових документів. Деякі банки не враховують того, що адміністратор захисту інформації не може брати участі в обробленні банківських електронних документів, а також вимоги щодо заборони сумісництва повноважень таким чином, щоб одна службова особа могла сформувати та відіслати електронний розрахунковий документ в СЕП (тобто допускається суміщення обов'язків операціоніста, бухгалтера та адміністратора АРМ-НБУ або операціоніста та бухгалтера). Національний банк наголошує на необхідності дотримання вимог вищезазначених нормативно-правових актів Національного банку України і особливо щодо інформаційної безпеки. Неприпустимим є таке:
1. Надання одному фахівцю повного права доступу до САБ та АРМ-НБУ наприкінці дня для завершення робіт, оскільки це створює умови для одноособового безконтрольного відправлення початкових платіжних документів.
2. Розміщення в одному приміщенні програмних комплексів АРМ-НБУ, серверів локальної мережі, АРМ-бухгалтера, системи "Клієнт - банк" та робочого місця і сейфа адміністратора захисту інформації (Інструкція про міжбанківські розрахунки в Україні (додаток 6, розділ 3) (далі - Інструкція) та Правила організації захисту електронних банківських документів (підпункт 3.5.1 та пункт 3.8 розділу 3) (далі - Правила).
3. Зберігання дискет з таємними ключами всіх робочих місць в сейфі адміністратора захисту інформації, який розміщується в тому самому приміщенні (підпункт 3.5.1 та пункт 3.8 розділу 3 та пункт 8.2; підпункти 8.4.3, 8.5.2 - 8.5.4 розділу 8 Правил.
4. Непризначення адміністратора захисту інформації на період відпустки або хвороби основного адміністратора захисту інформації та надання доступу до ключів від сейфа адміністратора захисту інформації кільком працівникам (підпункти 9.14 - 9.16 розділу 9 та пункт 8.2, підпункт 8.4.3 розділу 8 Правил.
5. Створення копії усіх таємних ключів, які використовуються в банківській установі (пункт 7.17 розділу 7 та підпункт 8.4.2 розділу 8 Правил, що підвищує вірогідність несанкціонованого їх використання іншими працівниками банківської установи.
6. Надання прав доступу до інформації та/або виконання функцій оброблення платіжних документів у САБ без автентифікації користувачів (за допомогою паролів, ключів тощо) під час входу та виконання будь-яких дій у САБ.
7. Відключення функції протоколювання всіх критичних дій користувачів у системі та незабезпечення захисту цього протоколу від несанкціонованої модифікації.
8. Відключення функцій накладання/перевірки цифрового підпису в САБ під час формування платіжних документів у внутрішньобанківських платіжних системах.
9. Невиконання адміністратором захисту інформації банківської установи (пункти 16.2 та 16.3 Правил вимог щодо проведення не рідше одного разу на квартал планових перевірок стосовно дотримання інформаційної безпеки. Неналежне дотримання банками вимог законодавчих і нормативно-правових актів, неякісна підготовка внутрішніх документів, а також безвідповідальність керівників та інших посадових осіб банків щодо здійснення контролю за дотриманням працівниками банку положень цих документів сприяли виникненню такої ситуації в банківській системі країни, за якої клієнти банків можуть без будь-яких перешкод здійснювати незаконні банківські операції.
У зв'язку з тим, що вищезазначене негативно впливає на репутацію всієї банківської системи України, призводить до втрати довіри громадян і суб'єктів підприємницької діяльності до банків, Національний банк України зобов'язує керівників банків особисто забезпечити:
суворе дотримання підлеглими працівниками вимог законодавства України та вищезазначених нормативно-правових актів Національного банку;
організацію роботи служб внутрішнього аудиту та служб захисту інформації таким чином, щоб під час здійснення будь-яких аудиторських перевірок постійно виконувались перевірки з питань захисту інформації у всіх установах банку, включаючи філії, відділення, безбалансові установи та віддалені робочі місця;
здійснення аналізу діючих і розроблення нових внутрішніх нормативних документів з огляду на перелічені у цьому листі недоліки в роботі банків;
постійний і ефективний контроль за виконанням цих заходів.
У разі встановлення фактів порушень банками вимог щодо забезпечення інформаційної безпеки, невиконання заходів щодо забезпечення інформаційної безпеки та запобігання відмиванню через банки доходів від злочинної діяльності, до банків, а також до їх керівників та посадових осіб вживатимуться заходи впливу згідно із законодавством України.
Голова В.С.Стельмах