НАЦІОНАЛЬНИЙ БАНК УКРАЇНИ
Платіжна організація національної системи
масових електронних платежів
Затверджено
Протокол Ради Платіжної
організації Національної
системи масових електронних
платежів
02.06.2008 N 119
Положення
про захист інформації в Національній системі
масових електронних платежів
1. Загальні положення
1.1. Положення про захист інформації в Національній системі масових електронних платежів (далі - Положення) розроблено згідно із законами України "Про Національний банк України" ( 679-14 ), "Про банки і банківську діяльність" ( 2121-14 ), "Про захист інформації в автоматизованих системах" ( 80/94-ВР ), "Про електронний цифровий підпис" ( 852-15 ), "Про електронні документи та електронний документообіг" ( 851-15 ), "Про платіжні системи та переказ коштів в Україні" ( 2346-14 ), іншими законами України, Правилами Національної системи масових електронних платежів, затвердженими постановою Правління Національного банку України від 10.12.2004 N 620, зареєстрованими в Міністерстві юстиції України 11.01.2005 за N 25/10305, та іншими нормативно-правовими актами Національного банку України (далі - Національний банк). Положення визначає технічні та організаційні засади функціонування системи захисту НСМЕП.
1.2. Вимоги Положення регламентують порядок отримання, обліку, використання, зберігання та виводу з обігу апаратно-програмних засобів захисту інформації Національної системи масових електронних платежів (далі - засоби захисту НСМЕП) та виконання правил інформаційної безпеки членами та учасниками НСМЕП.
1.3. Вимоги Положення не поширюються на програмно-технічні комплекси та системи захисту інформації членів/учасників НСМЕП, що виконують функції, які не належать до завдань НСМЕП.
1.4. У разі виникнення ситуацій, які не передбачені цим Положенням, їх слід розглядати за письмовим зверненням керівництва члена/учасника НСМЕП до Департаменту інформатизації Національного банку України.
1.5. Відповідальність за виконання вимог захисту членом/учасником НСМЕП покладається на керівництво цього члена/учасника.
2. Терміни та скорочення
2.1. У цьому Положенні вживаються такі скорочення:
АКС - автоматизована карткова система;
АРМ - автоматизоване робоче місце;
БПЦ - банківський процесинговий центр;
БТ - банківська таємниця;
БЦГКІ - банківський центр генерації ключової інформації;
ГПЦ - головний процесинговий центр;
ЗПЦ - "зовнішній" процесинговий центр (ЦОМП, студентський ПЦ тощо), не є процесинговим центром НСМЕП, але потребує обміну інформацією з РПЦ/ГПЦ;
МБ - модуль безпеки серверів НСМЕП;
НСД - несанкціонований доступ;
НСМЕП - Національна система масових електронних платежів;
ПТК - програмно-технічний комплекс;
ПЦ - процесинговий центр;
РПЦ - регіональний процесинговий центр;
СА - сервер авторизації;
САБ - система автоматизації банку;
СБД - сервер баз даних;
СЗ - сервер застосувань;
ЦГКІ - центр генерації ключової інформації;
ЦІСПК - центр ініціалізації та системної персоналізації карток;
МАС - код автентифікації повідомлення;
SAM - модуль безпеки термінала.
2.2. Усі терміни та інші скорочення, які вживаються в цьому Положенні, застосовуються в значеннях, наведених у Правилах НСМЕП, Законі України "Про захист інформації в автоматизованих системах" ( 80/94-ВР ), нормативно-правових актах Національного банку, які регулюють порядок захисту банківської інформації в автоматизованих платіжних системах.
3. Принципи побудови захисту інформації НСМЕП
3.1. Система захисту НСМЕП складається з комплексу апаратно-програмних засобів криптографічного захисту та ключової системи до них, технологічних і організаційних заходів щодо захисту інформації в НСМЕП.
3.2. Питання захисту інформації в НСМЕП розглядаються на всіх етапах розроблення, впровадження та експлуатації програмно-технічного забезпечення НСМЕП і включають чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.
3.3. Для контролю за виконанням вимог цього Положення служби захисту інформації територіальних управлінь Національного банку мають виконувати перевірки всіх членів та учасників НСМЕП, що використовують програмно-апаратні засоби захисту НСМЕП.
3.4. За результатами перевірки складається акт перевірки, у якому в разі виявлення недоліків мають бути встановлені строки їх усунення.
3.5. Підставою для виконання позапланових перевірок є вступ члена/учасника до НСМЕП, переведення його на іншу модель роботи, зміна адреси члена/учасника НСМЕП тощо.
3.6. На вимогу служб захисту інформації територіальних управлінь Національного банку та управління захисту інформації Департаменту інформатизації Національного банку всім службовим особам, які відповідають за виконання захисту електронних банківських документів НСМЕП, слід протягом одного дня надавати письмову або усну інформацію про стан засобів захисту інформації та їх використання, а також інформацію про стан захисту інформації в програмно-технічному забезпеченні АКС, технологію оброблення електронних документів НСМЕП членом/учасником НСМЕП та систему захисту інформації під час їх оброблення.
3.7. Забороняється передавати, навіть тимчасово, засоби захисту НСМЕП іншим установам або особам, у тому числі й іншим установам однієї юридичної особи.
3.8. Частина інформації, що використовується та обробляється в НСМЕП, відповідно до статті 61 Закону України "Про банки і банківську діяльність" ( 2121-14 ) є "банківською таємницею".
4. Вимоги до приміщень
4.1. ПЦ та АКС членів та учасників НСМЕП мають той чи інший комплект серверів залежно від функцій, які виконує член/учасник НСМЕП. Режимні вимоги до приміщень, у яких розташовані сервери програмно-технічних комплексів залежать від розташування цих серверів.
4.2. Вимоги до АКС/БПЦ членів та учасників НСМЕП.
До початку проведення інсталяції програмно-апаратного комплексу АКС/БПЦ наказом члена/учасника НСМЕП призначається відповідальна за засоби захисту НСМЕП особа - офіцер безпеки АКС/БПЦ члена/учасника НСМЕП. Копія цього наказу передається в управління захисту інформації Департаменту інформатизації.
До складу АКС банків - учасників НСМЕП та/або БПЦ входять робочі АРМ та такі сервери: СА, СБД, СЗ і БЦГКІ.
Залежно від своїх потреб член/учасник НСМЕП вибирає ту чи іншу конфігурацію для виконання функцій НСМЕП:
Перша конфігурація - СА, СБД суміщений з СЗ та БЦГКІ, робочі АРМ. СА та СБД повинні розміщуватися в приміщенні з обмеженим доступом в екранованих шафах, обладнаних відповідно до вимог нормативно-правових актів Національного банку. СБД, суміщений з СЗ та БЦГКІ, повинен розміщуватися в приміщенні з обмеженим доступом, яке додатково обладнане сейфами (металеві міцні шафи) для зберігання резервних МБ, службових карток та відповідної документації. Доступ до цього приміщення має лише офіцер безпеки АКС члена/учасника НСМЕП.
Друга конфігурація - СА, СБД, СЗ, суміщений з БЦГКІ, робочі АРМ. СА та СБД повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку. СЗ повинен розміщуватися в приміщенні з обмеженим доступом, яке додатково обладнане сейфами (металеві міцні шафи) для зберігання резервних МБ, службових карток та відповідної документації. Доступ до цього приміщення має лише офіцер безпеки АКС члена/учасника НСМЕП.
Третя конфігурація - основний та резервні СА, СБД, основний, суміщений з БЦГКІ, та резервні СЗ, робочі АРМ. Основні та резервні СА, СБД та резервні СЗ повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку. Основні та резервні сервери рекомендується розміщувати в різних серверних приміщеннях за наявності кількох обладнаних приміщень. Якщо немає іншого серверного приміщення, то рекомендується резервні сервери розміщувати в іншому приміщенні з обмеженим доступом в екранованих шафах, які відповідають вимогам нормативно-правових актів Національного банку. Основний СЗ повинен розміщуватися в приміщенні з обмеженим доступом, яке додатково обладнане сейфами (металеві міцні шафи) для зберігання резервних МБ, службових карток та відповідної документації. Доступ до цього приміщення має лише офіцер безпеки АКС члена/учасника НСМЕП.
Четверта конфігурація - СА, СБД, СЗ, БЦГКІ, робочі АРМ. СА, СБД та СЗ повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку. БЦГКІ повинен розміщуватися в приміщенні з обмеженим доступом, яке додатково обладнане сейфами (металеві міцні шафи) для зберігання резервних МБ, службових карток та відповідної документації. Доступ до цього приміщення має лише офіцер безпеки АКС члена/учасника НСМЕП.
4.3. Вимоги до ПЦ НСМЕП.
До складу ПЦ (ГПЦ, РПЦ) НСМЕП входять робочі АРМ та такі сервери: СА, СБД і СЗ.
Перша конфігурація - СА, СБД, СЗ, робочі АРМ. СА, СБД і СЗ повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку.
Друга конфігурація - основний та резервний СА, СБД, основний та резервний СЗ, робочі АРМ. СБД, основні та резервні СА і СЗ повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку. Основні та резервні сервери рекомендується розміщувати в різних серверних приміщеннях за наявності кількох обладнаних приміщень. Якщо немає іншого серверного приміщення, то рекомендується резервні сервери розміщувати в іншому приміщенні з обмеженим доступом в екранованих шафах, які відповідають вимогам нормативно-правових актів Національного банку.
4.4. Вимоги до ЦІСПК.
ЦІСПК - єдиний програмно-апаратний комплекс, як правило, установлений на території виробника карток НСМЕП та включає такі частини:
система ініціалізації та персоналізації карток (установка Prestige 300C.03.015 або інша та відповідне ПЗ);
система керування (окремий комп'ютер з відповідним ПЗ).
ЦІСПК розміщується в окремому приміщенні з обмеженим доступом. Стіни приміщення повинні бути бетонними або цегляними. Приміщення повинне бути оснащене сигналізацією: на відкривання дверей та об'ємною, яка реагує на переміщення та охоплює зону сейфа, установки для ініціалізації та персоналізації карток, шафи для зберігання комп'ютерів. Двері приміщення повинні бути обшиті стальними полотнищами. Приміщення повинне мати сейф з двома відділеннями, що закриваються на різні замки, або два сейфи. Двері приміщення, сейф, шафа для зберігання комп'ютерів повинні мати оснащення для опечатування. За наявності в приміщенні вікон, отворів для вентиляції тощо, що перевищують 30 х 30 см, вони повинні бути перекриті ґратами з вічком не більше ніж 20 х 20 см.
Комп'ютер системи керування повинен мати МБ з активованою функцією НСД. Системний блок комп'ютера опечатується та розміщується в металевій шафі, яка зачиняється і також опечатується.
Виробник карток НСМЕП розробляє та погоджує з Національним банком заходи щодо захисту всього комплексу ЦІСПК у разі виникнення надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо) та ознайомлює з ними працівників, що обслуговують цей комплекс.
Виробник карток НСМЕП розробляє та погоджує з Національним банком додаткові заходи щодо захисту інформації (ПЗ ЦІСПК) та контролю за обліком карток, якщо в приміщенні, крім ЦІСПК, розміщується інше устаткування і проводяться роботи, не пов'язані з системною ініціалізацією, персоналізацією та графічною персоналізацією карток НСМЕП.
Учасник НСМЕП - виробник карток обов'язково повинен призначити наказом відповідальну за програмно-апаратний комплекс ЦІСПК особу - офіцера безпеки ЦІСПК, якщо модуль безпеки програмно-апаратного комплексу ЦІСПК є власністю виробника карток. Копія цього наказу передається в управління захисту інформації Департаменту інформатизації.
4.5. АРМ розміщуються в приміщеннях з обмеженим доступом, призначених для роботи обслуговуючого персоналу АКС/ПЦ банку (ПЦ). У разі віддаленого розташування АРМ, наприклад на території іншого банку, що делегував повноваження та не має своєї власної АКС, власник АКС повинен забезпечити захищений on-line канал обміну інформацією між АРМ та СЗ, із забезпеченням криптографічної автентифікації кожного оператора АРМ.
4.6. Відповідальні особи повинні забезпечувати контроль термінального обладнання (банкомати, POS-термінали, комп'ютерні термінали, інтернет-термінали тощо). Для банкоматів повинен забезпечуватися цілодобовий контроль засобами системи моніторингу та за наявності такої можливості - цілодобовий контроль засобами системи зовнішнього відеонагляду. Підключення термінального обладнання має забезпечувати захищеність інформації від навмисної та/або ненавмисної модифікації як локально, так і через мережеве втручання ззовні. Рекомендується не використовувати мережу загального користування (Інтернет тощо) для підключення термінального обладнання до АКС.
4.7. Ремонтні роботи, прибирання приміщення та інші роботи в місцях розташування серверів НСМЕП та АРМ повинні виконуватися під контролем осіб, які призначені відповідальними за це приміщення наказом керівництва члена/учасника НСМЕП.
4.8. Повинен забезпечуватися постійний контроль за входом у приміщення, у яких розташовані сервери НСМЕП, тільки службових осіб, які наказом керівництва члена/учасника НСМЕП призначені для роботи з сервером (як правило це офіцер безпеки, для ліквідації нештатних ситуацій на сервері - адміністратор сервера) та реєструватись час та завдання, для виконання якого службова особа перебуває в цьому приміщенні. Рекомендується вести журнал нештатних ситуацій, у якому їх реєструвати з наданням опису дій, виконаних відповідальними особами для ліквідації нештатної ситуації.
4.9. БЦГКІ розгортається на персональному комп'ютері та повинен розміщуватися в приміщенні з обмеженим доступом в екранованій шафі або в серверному приміщенні відповідно до вимог нормативно-правових актів Національного банку. Доступ до БЦГКІ, резервного МБ БЦГКІ та відповідних службових карток МБ дозволено лише офіцеру безпеки, призначеному письмовим розпорядженням керівництва члена/учасника НСМЕП, з реєстрацією всіх дій офіцера безпеки у відповідному журналі.
4.10. У разі виникнення питань щодо розміщення компонентів ПТК НСМЕП члени/учасники НСМЕП мають вирішувати їх в робочому порядку з управлінням захисту інформації Департаменту інформатизації Національного банку.
4.11. Платіжна організація НСМЕП на прохання ЗПЦ надає рекомендації стосовно приміщень для розташування компонентів ЗПЦ. Ці питання вирішуються в індивідуальному порядку для кожного ЗПЦ з управлінням захисту інформації Департаменту інформатизації Національного банку.
5. Основи побудови ключової системи
та криптографічного захисту інформації
5.1. Основною метою криптографічного захисту інформації в НСМЕП є забезпечення конфіденційності та цілісності (захисту від несанкціонованої модифікації) електронної інформації, а також суворої автентифікації всіх учасників платіжних операцій, підготовки та оброблення електронних документів.
5.2. Для забезпечення захисту інформації від модифікації система захисту НСМЕП включає механізми формування/перевірки МАС на базі симетричного алгоритму DES із застосуванням режиму використання унікального сесійного ключа для кожного повідомлення.
5.3. Для забезпечення конфіденційності інформації, що циркулює в НСМЕП, усі інформаційні пакети (телеграми), що містять конфіденційну інформацію, шифруються за допомогою симетричного алгоритму TDES із застосуванням того самого режиму використання сесійного ключа.
5.4. Для шифрування та обчислення МАС використовується програмно-апаратний модуль безпеки серверів НСМЕП та самі смарт-картки (як службові, так і платіжні).
5.5. Використання стандартизованих криптографічних алгоритмів у системі захисту інформації НСМЕП, реалізованих апаратно, гарантує задану криптостійкість. Ключі, які використовуються для захисту інформації НСМЕП, зберігаються в картках та МБ НСМЕП, із гарантією їх захищеності.
5.6. За своїм функціональним призначенням та місцем використання всі ключі НСМЕП можна розбити на три різні типи: транспортні, системні та банківські ключі.
Побудову транспортних та системних ключів виконує управління захисту інформації Департаменту інформатизації Національного банку. Побудову банківських ключів виконують банки-учасники та/або БПЦ НСМЕП за допомогою спеціального програмного забезпечення БЦГКІ яке надається управлінням захисту інформації Департаменту інформатизації Національного банку.
5.7. Для підвищення рівня захищеності НСМЕП відповідно до регламенту НСМЕП та/або за рішенням Платіжної організації НСМЕП здійснюється перехід на нові версії системних та банківських ключів. Періодичність зміни версії системних ключів - не рідше одного разу на рік.
5.8. Транспортні ключі генеруються системним ЦГКІ окремо для кожного учасника НСМЕП та використовуються для безпечного транспортування апаратно-програмних засобів захисту інформації карткової системи (модулі безпеки, платіжні та службові картки) від одного до іншого учасника НСМЕП відповідно до технології НСМЕП.
5.9. Системні ключі є єдиними ключами для всієї багатоемітентної НСМЕП.
5.10. Банківські ключі генеруються окремо кожним банком-учасником та/або БПЦ НСМЕП та використовуються лише в межах цього учасника. Одразу після генерації офіцер безпеки АКС відповідно до Керівництва користувача програмно-апаратного комплексу банківського центру генерації ключової інформації (версія 2.01) повинен створити архіви криптопакетів банківських ключів та передати їх із забезпеченням захисту від компрометації для зберігання в управління захисту інформації Департаменту інформатизації Національного банку.
5.11. Криптографічний захист електронних документів членами/учасниками НСМЕП, які обслуговують АКС, виконується за допомогою таких засобів криптозахисту:
а) для обміну інформацією з іншими членами та учасниками НСМЕП - системний МБ СА НСМЕП;
б) для обміну інформацією всередині АКС (ПЦ) НСМЕП:
МБ серверів НСМЕП;
платіжна та/або службова смарт-картки НСМЕП;
програмне забезпечення БЦГКІ, яке:
генерує систему банківських ключів;
персоналізує технологічні банківські МБ;
розсилає в захищеному вигляді банківські ключі в БЦГКІ та на технологічні банківські МБ;
в) для обміну інформацією між АКС та САБ банку-учасника:
засоби електронного цифрового підпису, які надаються управлінням захисту інформації Департаменту інформатизації для захисту інформації і використовуються в системі електронних платежів та інших інформаційних задачах Національного банку, а саме:
програмний модуль генерації ключів;
бібліотеки накладання/перевірки ЕЦП, що надаються для вбудовування в програмне забезпечення АКС та САБ.
5.12. МБ БЦГКІ інсталюється на базі одного з придбаних банком-учасником та/або БПЦ НСМЕП модулів безпеки управлінням захисту інформації Департаменту інформатизації Національного банку та передається призначеній керівництвом члена/учасника НСМЕП особі (офіцеру безпеки АКС) разом з програмним забезпеченням та відповідною документацією БЦГКІ.
5.13. Після отримання програмного забезпечення БЦГКІ офіцер безпеки АКС члена/учасника НСМЕП повинен зняти копії з програмного забезпечення БЦГКІ та таблиць баз даних, які зберігають облікову інформацію про МБ АКС та криптопакети банківських ключів. Знищення цих копій здійснюється лише за вказівками управління захисту інформації Департаменту інформатизації Національного банку офіцером безпеки АКС члена/учасника НСМЕП.
5.14. Генерація та розсилання ключів, персоналізація МБ та керування ними повинні виконуватися лише офіцером безпеки АКС відповідно до Керівництва користувача програмно-апаратного комплексу банківського центру генерації ключової інформації (версія 2.01).
5.15. Забороняється використання засобів захисту НСМЕП у внутрішніх платіжних системах банків та інших програмних комплексах, які не входять до складу НСМЕП.
5.16. Консультації щодо супроводження МБ та ключової системи, а також інші питання щодо захисту інформації в НСМЕП надає управління захисту інформації Департаменту інформатизації Національного банку.
6. Порядок придбання, зберігання, експлуатації
та вилучення з обігу модулів безпеки
6.1. Виробник МБ серверів НСМЕП зобов'язаний мати дозвіл Платіжної організації на виробництво та продаж МБ. МБ продаються тільки членам (емітентам та еквайрам) і відповідним учасникам НСМЕП - ГПЦ, РПЦ, БПЦ, ЦІСПК. Члени/учасники НСМЕП самостійно замовляють та купують у виробника МБ основні та резервні МБ. Члени/учасники НСМЕП повинні в триденний строк надати Платіжній організації інформацію про закуплені МБ (типи МБ та їх серійні номери).
6.2. Загальний порядок експлуатації МБ серверів НСМЕП.
6.2.1. Вимоги до кількості основних МБ, що функціонують у складі АКС, залежно від можливих варіантів конфігурації АКС наведено в таблиці 1.
Таблиця 1
------------------------------------------------------------------
| N | Варіанти | Перелік основних МБ у складі АКС |
| з/п | конфігурації |------------------------------------------|
| | АКС | місце |функціональне |кількість МБ|
| | | встановлення |призначення МБ| |
| | | МБ | | |
|------+--------------+--------------+--------------+------------|
| 1 |З |СА |системний МБ | 1 |
| |відокремленим | |СА | |
| |БЦГКІ | |--------------+------------|
| | | |банківський МБ| 1 |
| | | |СА | |
| | |--------------+--------------+------------|
| | |СЗ (СБД) |МБ | 1 |
| | | |банківського | |
| | | |СБД | |
| | |--------------+--------------+------------|
| | |БЦГКІ |МБ БЦГКІ | 1 |
|---------------------------------------------------+------------|
|Загальна кількість МБ | 4 |
|---------------------------------------------------+------------|
| 2 |З суміщеним |СА |системний МБ | 1 |
| |БЦГКІ | |СА | |
| | | |--------------+------------|
| | | |банківський МБ| 1 |
| | | |СА | |
| | |--------------+--------------+------------|
| | |СЗ (СБД) |МБ БЦГКІ та | 1 |
| | | |СБД | |
|---------------------------------------------------+------------|
|Загальна кількість МБ | 3 |
------------------------------------------------------------------
6.2.2. Вимоги Платіжної організації до мінімальної кількості резервних МБ, що повинні бути в складі АКС з самого початку її роботи, та кількість МБ для повного резервування надані в таблиці 2.
Таблиця 2
------------------------------------------------------------------------
| N | Варіанти | Перелік резервних МБ у складі АКС |
| з/п |конфігурації |--------------------------------------------------|
| | АКС | місце |функціональне|кількість резервних МБ |
| | |встановлення| призначення |-----------------------|
| | |МБ |МБ |мінімальна| повне |
| | | | | |резервування|
|-----+-------------+------------+-------------+----------+------------|
| 1 |З |СА |системний МБ | | 1 |
| |відокремленим| |СА | | |
| |БЦГКІ | |-------------+----------+------------|
| | | |банківський | | 1 |
| | | |МБ СА | | |
| | |------------+-------------+----------+------------|
| | |СЗ (СБД) |МБ | | 1 |
| | | |банківського | | |
| | | |СБД | | |
| | |------------+-------------+----------+------------|
| | |БЦГКІ |МБ БЦГКІ | 1 | 1 |
|----------------------------------------------+----------+------------|
|Загальна кількість резервних МБ | 1 | 4 |
|----------------------------------------------+----------+------------|
| 2 |З суміщеним |СА |Системний МБ | | 1 |
| |БЦГКІ | |СА | | |
| | | |-------------+----------+------------|
| | | |Банківський | | 1 |
| | | |МБ СА | | |
| | |------------+-------------+----------+------------|
| | |СЗ (СБД) |МБ БЦГКІ та | 1 | 1 |
| | | |СБД | | |
|----------------------------------------------+----------+------------|
|Загальна кількість резервних МБ | 1 | 3 |
------------------------------------------------------------------------
Резервні МБ для забезпечення повного резервування можна докупити під час експлуатації системи.
6.2.3. Усі МБ є власністю емітента/еквайра/БПЦ, який їх придбав. Після придбання і взяття МБ на облік, вони передаються (разом з комплектом експлуатаційних документів на них) відповідальній особі - офіцеру безпеки АКС, до обов'язків якого належить забезпечення експлуатації МБ згідно з вимогами цього Положення та експлуатаційних документів на МБ.
6.2.4. Вимоги Платіжної організації до кількості основних МБ, що функціонують у складі ПЦ, наведено в таблиці 3.
Таблиця 3
------------------------------------------------------------------
| N | Перелік основних МБ у складі ПЦ |
| з/п |---------------------------------------------------------|
| |місце встановлення МБ| функціональне |кількість МБ|
| | | призначення МБ | |
|------+---------------------+----------------------+------------|
| 1 |СА |МБ СА | 1 |
|------+---------------------+----------------------+------------|
| 2 |СЗ (СБД) |МБ СБД | 1 |
|----------------------------------------------------------------|
| Загальна кількість МБ: 2 |
------------------------------------------------------------------
6.2.5. Вимоги Платіжної організації до обов'язкової мінімальної кількості резервних МБ, що повинні бути у складі ПЦ із самого початку її роботи, надані у таблиці 4.
Таблиця 4
------------------------------------------------------------------
| N | Перелік резервних МБ у складі ПЦ |
| з/п |---------------------------------------------------------|
| |місце встановлення | функціональне | кількість |
| | МБ | призначення МБ | резервних МБ |
|------+-------------------+------------------+------------------|
| 1 |СА |МБ СА | 1 |
|------+-------------------+------------------+------------------|
| 2 |СЗ (СБД) |МБ СБД | 1 |
|----------------------------------------------------------------|
|Загальна кількість МБ: 2 |
------------------------------------------------------------------
Додаткові резервні МБ можна докупити під час експлуатації системи. Кожен ПЦ НСМЕП самостійно вирішує питання щодо кількості інших резервних МБ.
6.2.6. Усі МБ є власністю ПЦ, який їх придбав. Після придбання МБ передаються (разом із комплектом експлуатаційних документів на них) відповідальній особі - офіцеру безпеки ПЦ, до обов'язків якого належить забезпечення експлуатації МБ згідно з вимогами цього Положення та експлуатаційних документів на МБ.
6.3. Порядок дій щодо переведення МБ в стан "Активний".
6.3.1. Усі МБ (основні та резервні) потребують проведення процедур їх переведення в стан "Активний" під час початкової активації нового МБ та відновлення працездатності МБ після виникнення нештатної ситуації, що призвела до його блокування. Процедури з ініціалізації всіх типів МБ та персоналізації системних МБ виконуються в системному ЦГКІ у порядку, визначеному Платіжною організацією.
Персоналізація банківських МБ здійснюється в БЦГКІ офіцером безпеки АКС/БПЦ згідно з Керівництвом користувача програмно-апаратного комплексу банківського центру генерації ключової інформації (версія 2.01).
6.3.2. Після завершення зазначених у попередньому підпункті робіт усі сервери (основні та резервні), у яких розміщені основні та частина резервних МБ, повинні бути опечатані печатками офіцера безпеки АКС/БПЦ/ПЦ учасника НСМЕП. Решта резервних МБ, які зберігатимуться окремо від комп'ютерів, офіцер безпеки АКС/БПЦ/ПЦ повинен помістити в контейнери чи конверти та опечатати їх власною печаткою. Офіцер безпеки НСМЕП повинен один раз на місяць перевіряти цілісність печаток на комп'ютерах, у яких установлені основні та резервні МБ, цілісність упаковки та відповідно до документа "Модуль безопасности МБ-1М. Технологическая инструкция о порядке замены элемента питания. ИМЕР.467759.009 ТИ1" працездатність автономних елементів живлення всіх резервних МБ. У разі порушення цілісності упаковки та/або печаток повідомляти управління захисту інформації Департаменту інформатизації Національного банку. У разі виявлення непрацездатних автономних елементів живлення провести їх заміну. Після перевірки працездатності автономних елементів живлення та за потреби їх заміни офіцер безпеки повинен опечатати всі резервні МБ.
6.4. Порядок зберігання резервних МБ.
Резервні МБ, які переведені в стан "Активний", повинні зберігатися в приміщенні з обмеженим доступом і можуть розташовуватися таким чином:
на робочому комп'ютері з відповідним програмним забезпеченням сервера НСМЕП у сусідньому слоті;
на резервному комп'ютері з відповідним програмним забезпеченням сервера НСМЕП;
у сейфі.
6.5. Основні вимоги до порядку експлуатації МБ викладені в документі "Модуль безпеки МБ - 1 PCI. Керівництво по експлуатації".
6.6. Узгодження ключової інформації між основними та резервними МБ полягає в синхронізації номера поточної версії (системної або банківської) ключів карток.
6.6.1. Процедура узгодження ключової інформації в резервних МБ повинна виконуватися в таких випадках:
згідно з відповідним Регламентом НСМЕП у зв'язку з переходом на нову версію системних ключів;
за рішенням Платіжної організації про позаплановий перехід на нову версію системних ключів.
6.6.2. Узгодження системної ключової інформації проводиться разом з системним ЦГКІ та офіцером безпеки АКС/БПЦ/ПЦ/ЦІСПК. Результати роботи повинні бути відображені у відповідних таблицях експлуатаційного документа "Модуль безпеки МБ - 1 PCI. Керівництво по експлуатації".
6.6.3. Узгодження банківської ключової інформації проводиться офіцером безпеки АКС/БПЦ відповідно до документа "Керівництво користувача програмно-апаратного комплексу банківського центру генерації ключової інформації. Версія 2.01". Результати роботи повинні бути відображені у відповідних таблицях експлуатаційного документа "Модуль безпеки МБ - 1 PCI. Керівництво по експлуатації".
6.7. Заміна основного МБ на резервний МБ виконується в разі блокування основного МБ та в інших випадках за рішенням керівництва члена/учасника НСМЕП. У цьому випадку офіцер безпеки члена/учасника НСМЕП повинен узгодити час проведення процесу заміни МБ з Платіжною організацією та управлінням захисту інформації Департаменту інформатизації Національного банку. Після заміни основного МБ на резервний МБ необхідно налагодити параметри драйвера МБ та переконфігурувати резервний МБ у стан основного.
6.8. Стадія блокування та/або помилки
6.8.1. Якщо МБ серверів НСМЕП потрапили в стан "Помилка" або "Блокований", то офіцер безпеки члена/учасника НСМЕП повинен повідомити Платіжну організацію, узгодити з нею порядок проведення процедур аналізу стану МБ та за наявності такої можливості відновлення його працездатності.
6.8.2. Для відновлення працездатності заблокований МБ разом із комплектом експлуатаційної документації на нього (з відповідними відмітками в експлуатаційній документації про перехід модуля в цей стан) повинен бути негайно направлений офіцером безпеки члена/учасника НСМЕП у системний ЦГКІ НСМЕП для з'ясування причин виникнення такої ситуації, вжиття відповідних заходів для знищення в цьому модулі ключової системи та його повторного виведення в стан "Активний".
6.8.3. У разі неможливості проведення повторного виведення МБ у стан "Активний" проводиться знищення в МБ системних ключів, робиться відповідний запис в експлуатаційній документації МБ, оформляється відповідний Акт (додаток 1) про непридатність МБ до подальшої експлуатації, які передаються члену/учаснику НСМЕП і є підставою для оформлення ним претензії (щодо ремонту або заміни на новий МБ) до виробника МБ відповідно до умов договору між ними.
6.8.4. Якщо є загроза блокування всіх МБ у результаті проведення членом/учасником НСМЕП критичних операцій (одночасна в усіх МБ заміна елементів живлення, модифікація схемотехнічних рішень усіх МБ тощо) та член/учасник НСМЕП не має змоги зупинити роботу своєї підсистеми у вихідні дні або на 1 - 2 робочих дні, то з метою мінімізації втрат рекомендується здійснити дії в такій послідовності:
провести критичні операції з наявними резервними МБ;
якщо після цього з'явилися заблоковані МБ, то відправити їх за наведеною вище схемою в системний ЦГКІ для відновлення працездатності;
провести критичні операції з основними МБ, для яких є резервні. У разі блокування на місце основного МБ установити відповідний резервний МБ. Заблокований основний МБ відправити в системний ЦГКІ для відновлення його працездатності як резервного МБ;
і так до останнього МБ.
6.9. Порядок вилучення МБ з обігу
6.9.1. МБ, які потрапили в стан "Помилка" або "Блокований" і за висновками системного ЦГКІ (за наявності відповідного протоколу і Акта про непридатність МБ до подальшої експлуатації та відповідного запису в експлуатаційній документації МБ) неможливо повторно вивести в стан "Активний", власник МБ направляє виробнику для з'ясування можливостей його ремонту або заміни на новий. У разі заміни на новий МБ старий МБ повинен бути утилізований за затвердженою Платіжною організацією методикою.
6.9.2. У разі виходу члена/учасника НСМЕП з карткової системи після закінчення терміну відповідального зберігання МБ серверів НСМЕП, які належать члену/учаснику НСМЕП, у місячний строк член/учасник НСМЕП має право перепродати всі свої МБ іншому учасникові НСМЕП. Якщо покупця немає, то утилізувати ці модулі. Перед утилізацією всі основні і резервні МБ разом з комплектом експлуатаційних документів на них повинні бути передані у системний ЦГКІ для переведення їх в стан "Блокований". Після виконання системним ЦГКІ цих робіт усі МБ повертаються члену/учасникові НСМЕП - власнику цих МБ. Оформлення результатів проводиться працівниками системного ЦГКІ, які здійснювали відповідні технологічні операції з МБ, шляхом внесення ними записів у експлуатаційні документи МБ.
6.9.3. Утилізацію МБ серверів НСМЕП проводять суб'єкти господарювання, які отримали відповідний дозвіл Платіжної організації НСМЕП на таку діяльність.
6.9.4. Технологія виходу члена/учасника НСМЕП з карткової системи, терміни та порядок зберігання програмно-апаратних засобів архівів криптопакетів та електронних документів визначаються окремим положенням про припинення участі члена/учасника в НСМЕП.
7. Порядок використання службових карток
7.1. Службові картки призначені для виконання відповідальними особами адміністративних та технологічних функцій в НСМЕП. Вони використовуються для розмежування доступу до СБД АКС банку-учасника або ПЦ НСМЕП з відповідних АРМ та до функцій термінального обладнання.
7.2. Використання службових карток операторами АРМ сервера БД в АКС та ПЦ.
7.2.1. Для забезпечення санкціонованого доступу до інформації та можливості виконувати різні функції НСМЕП кожен оператор АРМ АКС/ПЦ НСМЕП ідентифікується індивідуальними ключами своєї службової картки.
7.2.2. На початку роботи АРМ з базою даних виконується процедура автентифікації на спеціальних ключах, які зберігаються у внутрішній пам'яті МБ СЗ (СБД) та картки.
7.2.3. Програмне забезпечення АКС/ПЦ члена/учасника НСМЕП повинно забезпечувати внесення змін до бази даних операторами АРМ АКС/ПЦ лише через відповідний АРМ, тільки якщо вони авторизовані на ці дії та за наявності підпису МАС на даних, що передаються від АРМ до СБД. МАС формується службовою карткою цього оператора та перевіряється МБ СЗ відповідно до документа "Використання службових карток для розмежування доступу до серверів баз даних в системі масових електронних платежів". За вказаною дією програмне забезпечення обов'язково формує відповідний запис в файл протоколу роботи оператора АРМ.
7.2.4. Архіви файлів протоколів роботи операторів АРМ, які ведуться для арбітражних потреб, повинні зберігатися офіцером безпеки АКС/ПЦ протягом п'яти років.
7.2.5. Захист каналів зв'язку між АКС та внутрішньою платіжною системою банку, між СЗ та віддаленим (у разі такої потреби) АРМ АКС забезпечується власником АКС з урахуванням законодавства України та нормативно-правових актів Національного банку.
7.3. Використання службових карток для обслуговування термінального обладнання НСМЕП
7.3.1. Для обслуговування термінального обладнання НСМЕП використовуються трансферні картки, МБ термінального обладнання та службові картки техніка, адміністратора і касира.
7.3.2. Трансферна картка термінального обладнання НСМЕП використовується для передавання файлів збору в АКС/ПЦ та отримання певної службової інформації для термінала в зворотному напрямку, якщо термінальне обладнання працює в off-line режимі.
7.3.3. МБ термінального обладнання НСМЕП використовується як апаратно-програмний засіб захисту інформації, що формується, обробляється та передається на АКС/ПЦ термінальним обладнанням під час виконання своїх функцій.
7.3.4. Картка техніка використовується на етапі інсталяції термінала з метою його конфігурування (установка дати, часу та інше), реєстрації в НСМЕП, заведення адміністратора. Технік також може виводити з обігу термінал шляхом його блокування.
7.3.5. Картка адміністратора використовується для адміністрування термінала (конфігурування, надання прав доступу касирам тощо).
7.3.6. Картка касира використовується для виконання технологічних операцій (забезпечення проведення розрахунку клієнта проведення трансферу, завантаження картки клієнта готівкою тощо).
7.4. Член/учасник НСМЕП проводить вивід з обігу платіжних та службових карток шляхом механічного руйнування чип-модуля. Знищення карток оформляється актом (додаток 2). Один примірник акта обов'язково передається до Платіжної організації.
8. Функціональні обов'язки відповідальних осіб
системного ЦГКІ НСМЕП
8.1. Розпорядженням по Департаменту інформатизації для забезпечення роботи системного ЦГКІ призначаються адміністратор ЦГКІ та його оператор (оператори, якщо платіжна система потребує організації багатозмінної роботи). Розмежування доступу персоналу здійснюється за допомогою внутрішньої системи захисту інформації Національного банку.
8.2. Адміністратор системного ЦГКІ повинен:
знати нормативно-правові документи і вказівки управління захисту інформації Департаменту інформатизації Національного банку з питань організації захисту електронної банківської інформації та керуватися ними; виконувати вимоги нормативно-правових актів Національного банку з інформаційної безпеки в межах системного ЦГКІ;
вести облік МБ серверів НСМЕП та юридичних осіб, які ними володіють;
вести листування з офіцерами безпеки АКС членів/учасників НСМЕП та ПЦ з питань інформаційної безпеки;
підтримувати конфіденційність системи захисту системного ЦГКІ;
вводити та блокувати облікові записи операторів системного ЦГКІ, надавати операторам певні повноваження залежно від поставленого завдання;
брати участь у формуванні регламенту роботи системного ЦГКІ, формулювати для оператора завдання, які виходять за межі регламенту та виконуються згідно з розпорядчими документами Платіжної організації;
контролювати роботу операторів шляхом вивчення їх звітів та протоколів роботи, що ведуться програмно-апаратними засобами криптографічного захисту інформації системного ЦГКІ;
брати участь у тестуванні, упровадженні та супроводі нових версій програмного забезпечення системного ЦГКІ і МБ серверів НСМЕП;
надавати консультативну допомогу користувачам засобів захисту НСМЕП.
8.3. Функціональні обов'язки оператора системного ЦГКІ:
проводити генерацію системних ключів для програмно-апаратних засобів захисту інформації в НСМЕП;
проводити архівування та зберігати архіви ключової інформації НСМЕП;
проводити штатне та/або нештатне розсилання ключів у МБ НСМЕП;
проводити переконфігурування МБ НСМЕП;
організовувати та проводити перевірку працездатності, ініціалізацію та персоналізацію нових МБ і тих, що були переведені із стану "Заблокований", для членів/учасників НСМЕП;
надавати оперативну інформацію стосовно всіх МБ, що працюють в НСМЕП, за запитом керівництва Платіжної організації НСМЕП;
проводити інсталяцію та супроводжувати банківський ЦГКІ на АКС члена/учасника НСМЕП;
підтримувати в актуальному стані еталони прикладного програмного забезпечення системного та банківського ЦГКІ, що прийняті Платіжною організацією НСМЕП до експлуатації;
брати участь у тестуванні, удосконаленні та впровадженні програмно-апаратних засобів захисту інформації - МБ серверів НСМЕП;
брати участь в тестуванні програмного забезпечення АКС членів/учасників НСМЕП щодо питань захисту інформації в НСМЕП;
брати участь в розробленні та виготовленні описової та інструктивно-експлуатаційної документації до програмно-апаратних комплексів захисту інформації в НСМЕП;
аналізувати протоколи роботи програмно-апаратних комплексів захисту інформації в НСМЕП;
зберігати конфіденційну інформацію;
нести відповідальність за результати перевірки програмного забезпечення сторонніх розробників тощо;
надавати консультативну допомогу користувачам засобів захисту НСМЕП;
подавати звіт про виконану роботу на вимогу адміністратора системного ЦГКІ.
Оператор виконує всі технологічні операції на комплексі системного ЦГКІ відповідно до документа "Програмний комплекс системного центру генерації ключової інформації. Версія 2.0. Керівництво користувача".
9. Розподіл функціональних обов'язків
працівників членів/учасників НСМЕП
9.1. Кожний ПЦ НСМЕП може мати набір АРМів, що залежить як від власних потреб, так і від вимог того чи іншого розробника програмного забезпечення ПЦ. Найбільш поширеним є такий набір АРМ:
АРМ керування учасниками (лише ГПЦ);
АРМ зв'язку з РБ НСМЕП (лише ГПЦ);
АРМ адміністрування;
АРМ офіцера безпеки та персоналізації службових карток;
АРМ клірингу;
АРМ виписок та звітів;
АРМ моніторингу.
9.2. Для виконання організаційних заходів щодо забезпечення захисту інформації в ПЦ НСМЕП наказом учасника повинен бути призначений офіцер безпеки ПЦ та оператори відповідних АРМ.
9.3. Функціональні обов'язки офіцера безпеки ПЦ:
знати нормативні документи Платіжної організації і вказівки управління захисту інформації Національного банку з питань організації захисту електронної банківської інформації в НСМЕП та керуватися ними в роботі;
виконувати вимоги інформаційної безпеки в ПЦ;
вести листування з управлінням захисту інформації Національного банку з питань інформаційної безпеки в НСМЕП;
підтримувати конфіденційність системи захисту інформації в НСМЕП;
здавати на ініціалізацію та системну персоналізацію та отримувати вже активовані МБ;
проводити періодичне тестування МБ щодо їх працездатності, особливо резервних МБ;
здійснювати емісію та реєстрацію службових карток, вести облік операторів відповідних АРМ СБД ПЦ, яким видані службові картки;
ознайомлювати відповідальних осіб ПЦ з нормативними документами Національного банку з питань захисту інформації в НСМЕП та перевіряти знання правил використання та зберігання службових карток та засобів захисту НСМЕП;
вести облік МБ та службових карток, контролювати їх рух;
забезпечувати зберігання резервних МБ згідно з правилами, що наведено в експлуатаційному документі "Модуль безпеки МБ - 1 PCI. Керівництво по експлуатації";
здійснювати контроль за строком дії службових карток ПЦ;
організовувати та здійснювати виведення з обігу за встановленим порядком усіх службових карток ПЦ;
здійснювати перевірки відповідності приміщення розміщення серверів ПЦ та сейфів, у яких зберігаються резервні МБ, вимогам інформаційної безпеки;
здійснювати контроль за веденням усіх журналів та протоколів реєстрації дій операторів АРМ СБД ПЦ;
інформувати керівництво учасника НСМЕП, службу захисту інформації відповідного територіального управління Національного банку про виявлені недоліки, що впливають на безпеку електронної банківської інформації в НСМЕП;
брати участь у розгляді фактів порушення правил інформаційної безпеки в НСМЕП (за рішенням керівника учасника НСМЕП), забезпечувати надання інформаційно-арбітражних послуг у межах ПЦ.
9.4. Кожний АКС члена/учасника НСМЕП може мати набір АРМів, що залежить як від власних потреб, так і від вимог того чи іншого розробника програмного забезпечення АКС. Найбільш поширеним є такий набір АРМ:
АРМ офіцера безпеки АКС;
АРМ адміністратора АКС;
АРМ персоналізації карток;
АРМ персоніфікації карток;
АРМ карток і терміналів;
АРМ перегляду та відновлення трансакцій;
АРМ звітів.
9.5. Для виконання організаційних заходів щодо забезпечення захисту інформації в члена/учасника НСМЕП наказом члена/учасника повинен бути призначений офіцер безпеки АКС та оператори відповідних АРМ.
9.6. Функціональні обов'язки офіцера безпеки АКС:
знати нормативні документи Платіжної організації і вказівки управління захисту інформації Національного банку з питань організації захисту електронної банківської інформації в НСМЕП та керуватися ними в роботі;
виконувати вимоги інформаційної безпеки у члена/учасника НСМЕП;
вести листування з управлінням захисту інформації Національного банку з питань інформаційної безпеки в НСМЕП;
підтримувати конфіденційність системи захисту інформації в НСМЕП;
здавати на ініціалізацію та системну персоналізацію та отримувати вже активовані МБ;
здійснювати за допомогою програмного забезпечення БЦГКІ персоналізацію банківських МБ, проводити періодичне тестування їх щодо їх працездатності, особливо резервних МБ;
здійснювати емісію та реєстрацію службових карток та їх власників-операторів відповідних АРМ СБД АКС члена/учасника НСМЕП;
ознайомлювати відповідальних працівників члена/учасника НСМЕП з нормативними документами Національного банку з питань захисту інформації в НСМЕП та перевіряти знання правил використання та зберігання службових карток та засобів захисту НСМЕП;
вести облік МБ та службових карток, контролювати їх рух;
забезпечувати генерацію банківської ключової системи в АКС члена/учасника НСМЕП;
забезпечувати за допомогою програмного забезпечення БЦГКІ розсилання на банківські МБ та в банківський центр емісії карток згенеровані ключі;
забезпечувати зберігання резервних МБ згідно з правилами, що наведено в експлуатаційному документі "Модуль безпеки МБ - 1 PCI. Керівництво по експлуатації";
вести архіви таблиць облікової інформації та криптопакетів ключів БЦГКІ;
здійснювати контроль за терміном дії службових карток члена/учасника НСМЕП;
організовувати та здійснювати виведення з обігу за встановленим порядком усіх службових карток члена/учасника НСМЕП;
здійснювати перевірки відповідності приміщення розміщення серверів АКС та сейфів, у яких зберігаються резервні МБ, вимогам інформаційної безпеки;
забезпечувати зберігання всіх журналів та протоколів реєстрації дій операторів АРМ СБД АКС та, в разі потреби, проведення на підставі даних цих протоколів аналізу дій операторів АРМ;
інформувати керівництво члена/учасника НСМЕП, службу захисту інформації відповідного територіального управління Національного банку про виявлені недоліки, що впливають на безпеку електронної банківської інформації в НСМЕП;
брати участь у розгляді фактів порушення правил інформаційної безпеки в НСМЕП (за рішенням керівника члена/учасника), забезпечувати надання інформаційно-арбітражних послуг у межах АКС члена/учасника НСМЕП.
9.7. З метою посилення захисту електронної банківської інформації в НСМЕП необхідно забезпечити такий порядок розмежування доступу осіб до МБ та засобів захисту НСМЕП:
жоден працівник члена/учасника НСМЕП за виключенням офіцера безпеки АКС не має доступу до програмного забезпечення БЦГКІ;
жоден працівник члена/учасника НСМЕП за виключенням офіцера безпеки АКС/ПЦ не має фізичного доступу до МБ;
службові картки операторів АРМ заборонено передавати від одного оператора до іншого;
оператори АРМ повинні працювати з МБ лише в режимі віддаленого користування. Оператор не має права працювати на сервері, на якому стоїть МБ;
оператори АРМ повинні мати доступ до протоколів дій, які ведуться засобами НСМЕП на їх АРМ;
тільки офіцер безпеки АКС/ПЦ повинен мати доступ до протоколів дій операторів АРМ, які ведуться засобами НСМЕП на сервері застосувань СБД АКС/ПЦ;
усі працівники члена/учасника НСМЕП несуть відповідальність за створення умов, які можуть призвести або призвели до компрометації системи захисту інформації в НСМЕП.
9.8. Для виконання організаційних заходів щодо забезпечення захисту інформації у виробника карток, у якого програмно-апаратний комплекс ЦІСПК є його власністю, наказом учасника НСМЕП - Виробника карток НСМЕП повинен бути призначений офіцер безпеки ЦІСПК.
9.9. Функціональні обов'язки офіцера безпеки ЦІСПК:
знати нормативні документи Платіжної організації і вказівки управління захисту інформації Національного банку з питань організації захисту електронної банківської інформації в НСМЕП та керуватися ними в роботі;
виконувати вимоги інформаційної безпеки в ЦІСПК НСМЕП;
вести листування з управлінням захисту інформації Національного банку з питань інформаційної безпеки в НСМЕП;
підтримувати конфіденційність системи захисту інформації в НСМЕП;
проводити періодичне тестування щодо працездатності всіх МБ, особливо резервних МБ;
ознайомлювати відповідальних працівників ЦІСПК НСМЕП з нормативними документами Національного банку з питань захисту інформації в НСМЕП та перевіряти знання правил використання та зберігання карток розмежування доступу до ПЗ ЦІСПК та засобів захисту НСМЕП;
вести облік МБ, контролювати їх рух;
забезпечувати зберігання резервних МБ згідно з правилами, що наведено в експлуатаційному документі "Модуль безпеки МБ - 1 PCI. Керівництво по експлуатації";
здійснювати перевірки відповідності приміщення розміщення ЦІСПК та сейфів вимогам інформаційної безпеки;
здійснювати контроль за веденням усіх журналів та протоколів реєстрації дій операторів ЦІСПК;
інформувати керівництво ЦІСПК НСМЕП, управління захисту інформації Національного банку про виявлені недоліки, що впливають на безпеку електронної інформації в НСМЕП;
брати участь у розгляді фактів порушення правил інформаційної безпеки в НСМЕП.
10. Суміщення функціональних обов'язків
працівниками члена/учасника НСМЕП
10.1. У члена/учасника НСМЕП дозволяється суміщати функціональні обов'язки НСМЕП з будь-якими функціональними обов'язками в інших програмно-технічних комплексах банку, крім тих що зазначені у пункті 10.2.
10.2. Заборонено суміщення таких функціональних обов'язків у одного члена/учасника НСМЕП:
адміністратор БД та офіцер безпеки БД;
адміністратор АКС/ПЦ та офіцер безпеки АКС/ПЦ;
адміністратор АКС та оператор АРМ персоналізації службових та банківських карток;
оператор АРМ персоналізації банківських карток та операціоніст САБ.
11. Організація діловодства з питань
захисту інформації
11.1. У банківській установі/ПЦ (ГПЦ, РПЦ чи БПЦ) та на ЦІСПК, що є власністю виробника карток, діловодством з питань організації системи захисту інформації в НСМЕП повинен займатися офіцер безпеки.
11.2. Діловодство з питань захисту інформації ведеться відповідно до вимог, визначених членом/учасником НСМЕП.
11.3. Оформлення наказів, актів, супровідних листів та інших документів, що передбачені цим Положенням, може відрізнятися від зразків, які пропонуються в додатках, виходячи з наявності в члена/учасника НСМЕП різних бланків, штампів і особливостей ведення діловодства.
11.4. Організація діловодства офіцером безпеки АКС/БПЦ/ПЦ/ЦІСПК
11.4.1. Офіцер безпеки повинен вести:
справу N 1 офіцера безпеки;
справу N 2 офіцера безпеки;
журнал обліку офіцера безпеки.
11.4.2. У справі N 1 повинні зберігатися такі документи довгострокового користування:
нормативно-правові акти Національного банку, рекомендації з питань захисту інформації в НСМЕП;
нормативні акти Платіжної організації;
документ "Керівництво користувача програмно-апаратного комплексу банківського центру генерації ключової інформації. Версія 2.01" (тільки для офіцера безпеки АКС/БПЦ);
останній акт перевірки організації захисту інформації в НСМЕП службою захисту інформації територіального управління Національного банку;
акти приймання-передавання ПТЗ та МБ серверів АКС (додатки до договору приєднання до Національної системи масових електронних платежів, форма якого затверджена протоколом Ради Платіжної організації НСМЕП від 23.03.2007 N 87);
довідка про стан сигналізації в приміщеннях, у яких розміщена АКС/БПЦ/ПЦ/ЦІСПК (у разі наявності окремих приміщень для АКС/БПЦ/ПЦ /ЦІСПК), за підписом керівника члена/учасника НСМЕП;
акти приймання сигналізації для приміщень серверів АКС/БПЦ/ПЦ/ЦІСПК і договір про охорону (у разі наявності окремих приміщень для АКС/БПЦ/ПЦ/ЦІСПК);
картка реєстрації випадків несанкціонованого спрацювання сигналізації приміщення АКС/БПЦ/ПЦ/ЦІСПК (у разі наявності окремих приміщень для АКС/БПЦ/ПЦ/ЦІСПК);
інструкція про дії відповідальних осіб, які працюють із засобами захисту інформації в НСМЕП, у разі надзвичайних ситуацій, за підписом керівника члена/учасника;
копії наказів про призначення осіб, які відповідають за роботу із засобами захисту НСМЕП;
інші документи з питань організації захисту інформації в НСМЕП.
11.4.3. У справі N 2 мають зберігатися такі документи короткострокового користування:
супровідні листи;
акти про знищення МБ та службових карток, що вийшли з ладу;
інші документи з питань організації захисту інформації в НСМЕП.
Вимоги і рекомендації управління захисту інформації Департаменту інформатизації Національного банку та/або Платіжної організації (або їх копії), що надходять електронною поштою, можуть включатися до справ N 1, N 2.
11.4.4. Журнал обліку офіцера безпеки складається з таких розділів:
1. Перелік осіб, що працюють як оператори АРМ АКС/БПЦ/ПЦ, та номери їх службових карток.
2. Перелік осіб, які працюють як обслуговуючий персонал термінального обладнання члена/учасника, та номери їх службових карток (тільки для офіцера безпеки АКС/БПЦ).
3. Перелік термінального обладнання, місця його установки та номерів МБ терміналів (службові картки PSAM) (лише для офіцера безпеки АКС/БПЦ).
4. Перелік МБ серверів НСМЕП та місця їх установки.
5. Перелік ключів від вхідних дверей приміщення серверів НСМЕП (у разі наявності окремого серверного приміщення для АКС/БПЦ/ПЦ) та сейфів для зберігання МБ.
6. Перелік особистих печаток (штампів, пломбіраторів) відповідальних осіб для опечатування засобів захисту інформації.
7. Облік руху МБ, що закріплені за офіцером безпеки АКС/БПЦ/ПЦ/ЦІСПК.
8. Облік перевірок, проведених офіцером безпеки АКС/БПЦ/ПЦ/ЦІСПК.
12. Перевірка готовності члена/учасника НСМЕП
до початку роботи в НСМЕП та інсталяція
відповідного апаратно-програмного комплексу
12.1. Учасник, що уклав договір приєднання до НСМЕП як ЗПЦ, включається розпорядженням начальника відповідного територіального управління/Центральної розрахункової палати Національного банку до плану проведення перевірок згідно з Правилами організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженими постановою Правління Національного банку України від 02.04.2007 N 112, зареєстрованими в Міністерстві юстиції України 24.04.2007 за N 419/13686 (далі - Правила).
Член/учасник, що уклав договір приєднання до НСМЕП як АКС/БПЦ/ПЦ, включається розпорядженням начальника відповідного територіального управління/Центральної розрахункової палати Національного банку до плану проведення перевірок згідно з Правилами, Положенням та іншими нормативними документами НСМЕП.
Перевірка готовності члена/учасника до початку роботи в НСМЕП як ЦІСПК здійснюється комісією, створеною розпорядженням керівництва Платіжної організації НСМЕП після виконання членом/учасником необхідних первинних заходів щодо організації захисту інформації в НСМЕП відповідно до вимог, що визначаються цим Положенням та іншими нормативними документами НСМЕП.
12.2. У процесі перевірки вивчаються такі питання:
складення договору приєднання до НСМЕП;
стан приміщення для серверів АКС та наявність сейфів для зберігання резервних МБ і архівів таблиць БД БЦГКІ;
наявність призначених наказом відповідальних осіб за роботу із засобами захисту НСМЕП та офіцера безпеки АКС;
наявність належних нормативних актів та інших документів про організацію забезпечення інформаційної безпеки під час роботи члена/учасника в НСМЕП;
наявність необхідних проінстальованих програмно-апаратних засобів члена/учасника (програмне забезпечення АКС, МБ тощо), що мають свідоцтво Платіжної організації НСМЕП про придатність до використання в картковій системі, відповідність комп'ютерної техніки вимогам Платіжної організації НСМЕП.
12.3. Складається акт із зазначенням виявлених недоліків та встановленням строку їх усунення. Якщо немає недоліків за результатами перевірки, то готується розпорядження Платіжної організації стосовно інсталяції та введення в дію повного комплексу АКС члена/учасника НСМЕП.
12.4. До управління захисту інформації Національного банку (системний ЦГКІ) офіцер безпеки АКС надає МБ члена/учасника НСМЕП разом зі службовою запискою, у якій визначений перелік необхідних для проведення процедури ініціалізації та системної персоналізації характеристик МБ (додаток 3) та копія ліцензії на використання програмного забезпечення МБ.
12.5. Згідно з розпорядженням Платіжної організації Департамент інформатизації здійснює інсталяцію відповідного програмного забезпечення та програмного забезпечення БЦГКІ на програмно-апаратних засобах, що надані членом/учасником НСМЕП.
12.6. Офіцер безпеки АКС під наглядом представника управління захисту інформації Департаменту інформатизації проводить генерацію банківської ключової системи, персоналізацію всіх банківських МБ та розсилання банківських ключів.
13. Порядок роботи і зберігання засобів
захисту інформації в надзвичайних ситуаціях
13.1. У справі N 1 офіцера безпеки АКС/ПЦ повинна зберігатися довідка, що підписана керівником члена/учасника, яка складена в довільній формі та регламентує дії осіб, які працюють з МБ та службовими картками, під час надзвичайної ситуації. З цією довідкою мають бути ознайомлені всі відповідальні особи. Виписки з довідки можуть зберігатися і на робочих місцях обслуговуючого АКС/ПЦ персоналу.
13.2. Член/учасник НСМЕП повинен проінформувати правоохоронні органи під час їх роботи в установі про наявність у неї засобів захисту НСМЕП (МБ, службові картки, програмне забезпечення БЦГКІ) та програмного забезпечення АКС/ПЦ/ЦІСПК. Член/учасник НСМЕП повинен також проінформувати службу захисту інформації територіального управління Національного банку про цей випадок для прийняття рішення про порядок подальшої роботи із засобами захисту інформації.
14. Перелік питань, що вимагають інформування
Платіжної організації НСМЕП
14.1. Член/учасник НСМЕП зобов'язаний негайно (телефоном) інформувати службу захисту інформації територіального управління Національного банку та/або управління захисту інформації Департаменту інформатизації Національного банку в таких випадках:
виконання (спроби виконання) несанкціонованої платіжної трансакції;
компрометація засобів захисту інформації НСМЕП;
пошкодження МБ;
несанкціоноване проникнення в приміщення серверів НСМЕП (пошкодження вхідних дверей, ґрат на вікнах, спрацювання сигналізації за нез'ясованих обставин тощо);
проведення правоохоронними органами та іншими державними установами перевірки комерційної діяльності члена/учасника НСМЕП, якщо виникають умови для компрометації діючих засобів захисту інформації НСМЕП;
виникнення інших аварійних або надзвичайних ситуацій, що створюють реальні передумови до розкрадання, втрати, пошкодження тощо засобів захисту інформації НСМЕП.
14.2. Член/учасник НСМЕП зобов'язаний повідомляти управління захисту інформації Департаменту інформатизації про такі події:
призначення офіцера безпеки АКС/ПЦ;
звільнення офіцера безпеки АКС/ПЦ;
заміна або відновлення працездатності МБ;
генерація та перехід на нову версію банківських ключів.
15. Контрольні заходи щодо організації захисту
інформації НСМЕП у члена/учасника НСМЕП
15.1. Організація контролю за забезпеченням захисту електронних документів в членах/учасниках НСМЕП згідно з вимогами нормативних документів Платіжної організації НСМЕП покладається на:
керівника члена/учасника (особи, яка виконує його обов'язки);
заступника керівника члена/учасника, який за своїми службовими обов'язками або за наказом установи призначений відповідальним за організацію захисту електронних банківських документів у НСМЕП.
15.2. Контроль за станом захисту інформації НСМЕП у члена/учасника здійснює безпосередньо офіцер безпеки АКС/ПЦ/ЦІСПК.
15.3. Офіцер безпеки АКС/ПЦ/ЦІСПК члена/учасника НСМЕП виконує перевірки не менше ніж раз на квартал. Перевірки здійснюються в обсязі відповідно до нормативних документів Платіжної організації НСМЕП. Основна увага повинна приділятися наявності та працездатності МБ, ключів від сейфів, у яких зберігаються МБ, від вхідних дверей приміщення серверів АКС/ПЦ, облікових даних, виконання вимог інформаційної безпеки під час роботи із засобами захисту інформації НСМЕП, знання відповідальними особами нормативних документів з питань інформаційної безпеки під час роботи в НСМЕП, правильне і своєчасне заповнення журналів обліку.
Після завершення перевірки в розділі 8 журналу обліку офіцера безпеки АКС/ПЦ/ЦІСПК робиться відповідна відмітка.
15.4. Для забезпечення контролю за виконанням вимог щодо захисту інформації членами та учасниками НСМЕП, служби захисту інформації територіальних управлінь Національного банку мають виконувати планові (а в разі потреби - і позапланові) перевірки всіх членів/учасників НСМЕП, що використовують програмно-апаратні засоби захисту НСМЕП.
15.5. Працівник служби захисту інформації територіального управління Національного банку, який здійснює перевірку, зобов'язаний мати документи, які засвідчують його особу, і розпорядження на перевірку, на якому є підпис керівника (заступника) начальника територіального управління Національного банку. Розпорядження складається в довільній формі. Працівник служби захисту інформації здійснює перевірку в присутності службової особи, призначеної керівником члена/учасника. Під час перевірки працівник служби захисту інформації керується нормативними актами Платіжної організації НСМЕП з питань організації захисту інформації НСМЕП.
15.6. Працівник служби захисту інформації територіального управління Національного банку, який перевіряє члена/учасника, має право:
перевіряти наявність усіх МБ та службових карток, журналів, справ і документів з питань захисту інформації НСМЕП;
відвідувати приміщення серверів АКС/ПЦ, вивчати умови зберігання резервних МБ, стан сигналізації приміщення серверів, здійснювати за узгодженням з відповідним відділом охорони контрольну перевірку її спрацювання;
відвідувати робочі місця офіцера безпеки АКС/ПЦ/ЦІСПК та операторів АРМ СЗ і вивчати умови експлуатації засобів захисту інформації НСМЕП;
перевіряти у відповідальних за роботу із засобами захисту інформації НСМЕП знання нормативних актів, що регламентують забезпечення інформаційної безпеки, їх навичок працювати із засобами захисту інформації НСМЕП;
ознайомлюватися з наказами, актами та іншими документами члена та учасника НСМЕП, що дають змогу проконтролювати виконання вимог інформаційної безпеки НСМЕП відповідальними особами;
брати участь у службових розслідуваннях, що проводяться у члена/учасника НСМЕП у разі виявлення недоліків організації захисту інформації НСМЕП.
15.7. Служби захисту інформації територіальних управлінь Національного банку можуть проводити планові та позапланові перевірки членів/учасників НСМЕП.
Планові перевірки проводяться не рідше одного разу на два роки та можуть проводитися з плановими перевірками з питань організації роботи із засобами захисту інформації, які надаються Національним банком для роботи в системі електронних платежів та інформаційних задачах Національного банку.
Позапланові перевірки проводяться в разі:
первинного підключення до НСМЕП члена/учасника;
підключення до НСМЕП члена/учасника, який був раніше тимчасово виключений;
в) за результатами усунення виявлених недоліків, після надзвичайних ситуацій, впровадження нових засобів криптозахисту, особливого порядку роботи в НСМЕП тощо.
15.8. За результатами перевірки складається Акт про перевірку організації захисту електронних банківських документів (додаток 4) у двох примірниках, що підписується працівником служби захисту інформації територіального управління Національного банку і керівником члена/учасника НСМЕП. Один примірник акта залишається у члена/учасника, другий - зберігається у службі захисту інформації територіального управління Національного банку.
15.9. Відповідальність за порушення правил захисту інформації несе безпосередньо керівник члена/учасника НСМЕП.
16. Ведення архівів
16.1. Для уникнення непередбачених затримок у роботі НСМЕП у разі повного або часткового виходу з ладу всіх МБ члена/учасника НСМЕП, у яких зберігаються в захищеному вигляді ключі цієї системи мають вестися архіви криптопакетів цих ключів. Основним архівом є архів системного ЦГКІ, який обслуговується відповідальними особами управління захисту інформації Департаменту інформатизації Національного банку.
16.2. Інформація з архівів використовується для відновлення ключової системи в МБ серверів членів/учасників НСМЕП, яка була частково порушена або повністю втрачена. Відновлення ключової системи МБ повинно виконуватися тільки відповідальними особами управління захисту інформації Департаменту інформатизації Національного банку.
16.3. Ведення архівів криптопакетів банківських ключів.
16.3.1. Відповідно до рішення Платіжної організації НСМЕП (протокол Ради НСМЕП від 07.03.2003 N 20) з метою надійного зберігання банківської ключової інформації та забезпечення безперебійної роботи для АКС учасника НСМЕП ведуться окремі еталонні копії таблиць БД БЦГКІ та криптопакетів внутрішнього стану МБ БЦГКІ.
16.3.2. Таблиці БД БЦГКІ та криптопакети внутрішнього стану МБ БЦГКІ, які зберігаються у відповідному каталозі БЦГКІ, змінюються кожного разу, коли на банківському ЦГКІ проводяться процедури персоналізації банківських МБ, генерації банківських ключів та/або резервування внутрішнього стану МБ БЦГКІ.
16.3.3. Після кожної модифікації таблиць весь вміст відповідного каталогу БЦГКІ члена/учасника НСМЕП разом з архівуванням на місці повинен додатково надсилатися офіцером безпеки АКС (з обов'язковим криптографічним захистом) за допомогою електронної пошти або кур'єром на окремому магнітному носієві в управління захисту інформації Департаменту інформатизації Національного банку.
16.3.4. Надісланий архів таблиць БД БЦГКІ за кожним АКС члена/учасника НСМЕП зберігається в трьох копіях на різних носіях на двох територіально відокремлених площадках.
16.4. Ведення архівів криптопакетів системних ключів
16.4.1. З метою надійного зберігання ключової інформації НСМЕП та забезпечення безперебійної роботи системи в цілому управлінням захисту інформації Департаменту інформатизації Національного банку ведуться еталонні копії таблиць БД системного ЦГКІ та криптопакети внутрішнього стану МБ системного ЦГКІ.
16.4.2. У таблиці баз даних та криптопакети внутрішнього стану МБ вносяться зміни кожного разу, коли на системному ЦГКІ проводяться процедури ініціалізації, персоналізації МБ, генерації системних ключів та/або резервування внутрішнього стану МБ.
16.4.3. Після кожної модифікації таблиць весь вміст файлу архіву БД системного ЦГКІ зберігається в трьох копіях на різних носіях на двох територіально відокремлених площадках.
16.5. Терміни зберігання криптопакетів ключів та документів в електронних архівах визначаються Переліком документів, що утворюються в діяльності Національного банку України та банків України із зазначенням строків зберігання, який діє на час визначення терміну зберігання.
17. Інформаційні послуги щодо криптографічної
перевірки достовірності електронних документів НСМЕП
17.1. Платіжна організація НСМЕП надає банкам-членам НСМЕП у разі виникнення спорів послуги щодо криптографічної перевірки достовірності електронних документів карткової системи.
17.2. Комплексом апаратно-програмних засобів криптографічного захисту НСМЕП передбачено формування криптографічно захищених документів в електронній формі, які зберігаються в архівах усіх програмно-апаратних компонентів карткової системи.
17.3. Модуль безпеки серверів НСМЕП, сконфігурований виключно для надання арбітражних послуг, дає змогу управлінню захисту інформації Департаменту інформатизації Національного банку за наявності копій архівів члена/учасника НСМЕП перевірити криптографічну достовірність спірного електронного документа та визначити:
- ідентифікатор установи НСМЕП, який надіслав електронний документ;
- номер платіжної картки, за допомогою якої був ініційований цей документ;
- результат виконання операції за допомогою зазначеної вище платіжної картки, у результаті якої був створений цей електронний документ;
- з точністю до встановленого на відповідному термінальному обладнанні дату та час виконання операції.
17.4. Управління захисту інформації Національного банку надає послуги з криптографічної перевірки достовірності електронних документів, якщо член/учасник НСМЕП:
кожного робочого дня формують і надійно зберігають архіви роботи АКС та термінального обладнання, що перебувають на обслуговуванні, до яких мають входити арбітражні журнали (програмного та апаратного шифрування) та захищені від модифікації протоколи роботи АРМ-НБУ;
подають копії архівів за відповідний банківський день.
17.5. Платіжна організація НСМЕП надає членам/учасникам НСМЕП відповіді (на паперових носіях), які пов'язані із зазначеними в п. 17.3 питаннями стосовно спірного документа. Ці паперові документи мають засвідчуватися підписом уповноваженої особи та відбитком печатки Платіжної організації.
18. Вимоги щодо захисту інформації в ЗПЦ
18.1. ЗПЦ повинен обмінюватися інформацією з РПЦ/ГПЦ тільки в файловому режимі. Для забезпечення конфіденційності цієї інформації використовується АРМ-НБУ-Інформаційний.
18.2. Цілісність інформації, що передається між ГПЦ та ЗПЦ, повинна бути захищена за допомогою ЕЦП, який накладається на окремому робочому місці ЗПЦ за допомогою вбудованих в це робоче місце бібліотек, що розроблені працівниками управління захисту інформації Департаменту інформатизації Національного банку.
18.3. ЗПЦ укладає договір з Національним банком на оренду та використання каналів електронної пошти Національного банку та АРМ-НБУ-Інформаційний.
18.4. ЗПЦ захищає інформаційний обмін між компонентами ЗПЦ, іншими компонентами, які не є учасниками НСМЕП, відповідно до законодавства України.
Додаток 1
до Положення про захист
інформації в Національній
системі масових електронних
платежів
ЗАТВЕРДЖУЮ ЗАТВЕРДЖУЮ
Голова Правління Директор Департаменту
інформатизації
____________________________
(назва банку/ _______________________
процесингового центру) (прізвище, ініціали)
____________________________ "___" ______________ 200_
(прізвище, ініціали)
"___" ____________ 200_
АКТ N _____
передавання несправних модулів безпеки,
що були виявлені під час ініціалізації
в системному ЦГКІ НСМЕП
Цей акт складено про те, що під час виконання робіт згідно з
Договором N _____ від __.__.200_ між _____________________________
(назва банку/процесингового центру)
та Платіжною організацією НСМЕП виявлено несправність
____________ модулів безпеки типу МБ-1М ІМЕР.467759.009, у
(кількість)
зв'язку з чим представник
Платіжної організації ______________ передав,
(кількість)
а представник ______________________ прийняв ____________________
(назва банку/процесингового центру) (прізвище, ініціали)
несправних модулів безпеки із заводськими номерами __________,
(зав. NN)
які є власністю ___________________________________.
(назва банку/процесингового центру)
Коди помилок або причина виходу з ладу модулів МБ-1М:
зав. N _______ - заблокувався, код помилки - ______________;
(код помилки)
зав. N _______ - заблокувався, код помилки - _____________.
(код помилки)
Модулі передано для проведення гарантійного ремонту в умовах
виробника ______________________________ або їх заміни.
(назва підприємства-виробника)
Від ________________________
(назва банку/
процесингового центру)
__________ ____________________
(підпис) (прізвище, ініціали)
Від Управління захисту
інформації
__________ ____________________
(підпис) (прізвище, ініціали)
Додаток 2
до Положення про захист
інформації в Національній
системі масових електронних
платежів
ЗАТВЕРДЖУЮ
__________________________
(посада: керівник установи,
заступник)
_________
(підпис)
____________________________
(прізвище, ініціали)
(М.П.)
"___" ______________ 200_
АКТ
знищення платіжних та службових карток
в _______________________________
(назва банку/процесингового центру)
"___" ________________ 200_ м. ____________
На підставі наказу керівника ____________________________________
(назва банку/процесингового центру)
комісія в такому складі:
_____________________ ______________________
(прізвище, ініціали) (посада)
_____________________ ______________________
(прізвище, ініціали) (посада)
_____________________ ______________________
(прізвище, ініціали) (посада)
провела процедури знищення шляхом механічного руйнування
чип-модуля карток, які були виведені з обігу.
Перелік знищених карток
------------------------------------------------------------------
| N |Номер картки|Тип картки (службова, | Причина виведення з |
| з/п | | платіжна) | обігу |
|-----+------------+----------------------+----------------------|
| 1 | | | |
|-----+------------+----------------------+----------------------|
| 2 | | | |
------------------------------------------------------------------
Підписи членів комісії:
_____________________ ______________________
(прізвище, ініціали) (посада)
_____________________ ______________________
(прізвище, ініціали) (посада)
_____________________ ______________________
(прізвище, ініціали) (посада)
Додаток 3
до Положення про захист
інформації в Національній
системі масових електронних
платежів
Національний банк України
Директорові
Департаменту інформатизації
Савченку А.С.
Шановний Анатолію Стефановичу!
На виконання умов Договору N _________ від ___.___.200_, а також
_________________________________________________________________
(указати причину необхідності виконання роботи)
прошу виконати ініціалізацію і системну персоналізацію двох
модулів безпеки банку/процесингового центру:
------------------------------------------------------------------
| N | Модель |Серійний номер | Призначення |
| з/п | | | |
|------+----------------------+---------------+------------------|
| 1 |МБІ-РСІ АТ29С020-12JC | хххх |Банківський МБ СА |
|------+----------------------+---------------+------------------|
| 2 |МБІ-РСІ АТ29С020-12JC | уууу |Системний МБ СА |
|------+----------------------+---------------+------------------|
| 3 | | | |
------------------------------------------------------------------
Оплату виконаних робіт згідно з діючими тарифами Платіжної
організації гарантуємо.
Голова Правління
____________________________ (прізвище, ініціали)
(назва банку/
процесингового центру)
Вик. _____________________
(прізвище, ініціали)
тел. ____________________
(N телефону)
Додаток 4
до Положення про захист
інформації в Національній
системі масових електронних
платежів
ПОГОДЖЕНО: ЗАТВЕРДЖУЮ
_________________________ ___________________________
(посада: керівник (посада: начальник
установи, заступник) територіального управління
_________________________ Національного банку України
(підпис) (прізвище, ініціали)
________________
(М.П.) (підпис)
______________________
"___" ________________ 200_ (прізвище, ініціали)
(М.П.)
"___" _______________ 200_
АКТ
про перевірку організації захисту
електронних банківських документів
в _______________________________________________________
(назва банку/процесингового центру/центру емісії карток)
"___" ________________ 200_ м. ____________
На підставі Положення про захист інформації в НСМЕП,
затвердженого "___" ________________ 200_, комісія провела
перевірку організації захисту електронних документів АКС/ПЦ/ЦІСПК
________________________________________________________________.
(назва банку/процесингового центру/центру емісії карток)
До складу комісії увійшли:
від служби захисту інформації Управління Національного банку
України в ______________________ ____________ області:
_____________ ____________________,
(посада) (прізвище, ініціали)
_____________ ____________________;
(посада) (прізвище, ініціали)
від ____________________________________________________________:
(назва банку)
офіцер безпеки АКС/ПЦ/ЦІСПК ____________________________________.
(прізвище, ініціали)
Перевіркою встановлено:
1. Виконання режимних вимог до приміщень
1.1. Програмно-технічні засоби НСМЕП (СА, СБД, СЗ, ЦІСПК)
розміщені таким чином: __________________________________________;
(указати конкретно)
обладнання стандартною сигналізацією:
пожежна ___________;
(так/ні)
сигналізація в неробочий час включається до ____________________;
(указати конкретно)
на посту охорони є інструкція про дії охорони в разі спрацювання
сигналізації, пожежі, стихійного лиха тощо ___________;
(так/ні)
наявна картка запису несанкціонованих спрацювань сигналізації
___________;
(так/ні)
виконується контроль за порядком взяття приміщення під охорону і
надійного спрацювання сигналізації ___________;
(так/ні)
останній контроль було виконано _______________.
(дата)
1.2. У приміщенні є сейфи (металеві шафи) для зберігання
резервних МБ і документів до них ________________________________.
(так/ні)
1.3. Ключі від сейфів, вхідних дверей приміщення серверів
АКС/ПЦ/ЦІСПК і печатки зареєстровані в журналі обліку офіцера
безпеки АКС/ПЦ/ЦІСПК _____________.
(так/ні)
1.4. Усі працівники учасника НСМЕП, що мають право постійного
допуску в приміщення серверів АКС/ПЦ/ЦІСПК, призначені наказом по
установі _____________;
(так/ні)
1.5. Розміщення робочого місця офіцера безпеки АКС/ПЦ/ЦІСПК,
наявність та розміщення сейфа ___________________________________.
(указати недоліки, якщо вони є)
1.6. Розміщення робочих місць АРМ БД АКС/ПЦ ________________.
(вказати недоліки, якщо вони є)
2. Криптографічні засоби захисту та робота з ними
2.1. Використовуються такі засоби криптографічного захисту:
системний МБ ЦІСПК N ________;
системний МБ СА N ________;
системний МБ СБД (для процесингового центру) N ________;
банківський МБ СА (для банківської установи) N ________;
банківський МБ СБД (для банківської установи) N ________;
резервний МБ учасника НСМЕП N ________;
службові картки операторів АРМ _____________;
(так/ні)
програмне забезпечення банківського ЦГКІ _____________;
(так/ні)
архіви банківського ЦГКІ _____________.
(так/ні)
2.2. Умови зберігання засобів захисту НСМЕП (сейф для
зберігання резервного МБ розміщений в приміщенні серверів
АКС/ПЦ/ЦІСПК, наявність журналу обліку засобів захисту НСМЕП,
правильність його заповнення).
2.3. Виконання вимог з технічних умов експлуатації МБ, які
надані в документації до нього ________.
(так/ні)
2.4. Наявність резервних джерел живлення (UPS,
дизель-генератор) _________;
(так/ні)
2.5. Наявність умов роботи офіцера безпеки АКС на
банківському ЦГКІ (тільки для банківської установи)
________________________________________________________________.
(указати недоліки)
2.6. Умови зберігання службових карток операторами АРМ (у
власних сейфах, у сейфі офіцера безпеки АКС/ПЦ тощо).
2.7. Наявність випадків утрати або компрометації службових
карток операторів АРМ, заходи, що були вжиті для запобігання
повторенню таких випадків _____________________________________.
2.8. В установі використовується ПЗ АКС/ПЦ/ЦІСПК
________________, версія ________, розробник _________________.
3. Призначення відповідальних осіб за роботу із засобами
захисту НСМЕП
3.1. Усі особи, що відповідають за роботу із засобами захисту
НСМЕП, призначені наказом по установі - учаснику НСМЕП. Виявлені
такі недоліки: ________________________________________.
(указати конкретно)
3.2. Наявність заборонених випадків суміщення обов'язків
___________________________________.
(указати конкретно)
3.3. Наявність особистих печаток (штампів тощо) для
опечатування сейфів тощо: ________________.
(так/ні)
3.4. Вибіркова перевірка знань нормативних документів з
питань захисту інформації відповідальними особами виявила:
________________________________________________________________.
(указати конкретні недоліки)
4. Організація діловодства з питань захисту інформації
4.1. Наявність:
справи N 1 офіцера безпеки ___________;
(так/ні)
справи N 2 офіцера безпеки ___________;
(так/ні)
журналу обліку офіцера безпеки __________.
(так/ні)
4.2. Перевірка наявності необхідних документів у справі N 1
виявила такі недоліки: __________________________________________.
(указати конкретно)
4.3. Перевірка наявності належних документів у справі N 2
виявила такі недоліки: __________________________________________.
(указати конкретно)
4.4. Перевірка ведення журналу обліку офіцера безпеки
АКС/ПЦ/ЦІСПК, наявності всіх необхідних розділів відповідно до
Положення про захист інформації в НСМЕП: ________________________.
(указати конкретні наявні недоліки)
4.5. Перевірка наявності архівів:
електронних документів НСМЕП ___________;
(так/ні)
журналів роботи серверів АКС/ПЦ/ЦІСПК ___________;
(так/ні)
журналів роботи операторів АРМ ___________;
(так/ні)
таблиць БД банківського ЦГКІ (тільки для АКС) ___________.
(так/ні) ВИСНОВКИ:
5.1. Недоліки: ______________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
5.2. Строки усунення: _______________________________________
5.3. Рекомендації: __________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________Підписи членів комісії: _____________ ________________________ (посада) (прізвище, ініціали) _____________ ________________________ (посада) (прізвище, ініціали) _____________ ________________________ (посада) (прізвище, ініціали) _____________ ________________________ (посада) (прізвище, ініціали) _____________ ________________________ (посада) (прізвище, ініціали) З актом ознайомлені: _____________ ________________________ (посада) (прізвище, ініціали) _____________ ________________________ (посада) (прізвище, ініціали) _____________ ________________________ (посада) (прізвище, ініціали)