Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Контакти
 


Тлумачний словник






Додаток 2

Глава 17. Особливості використання засобів захисту в установах Державного казначейства України

Глава 16. Контроль за організацією захисту інформації в організації

Глава 15. Порядок інформування територіального управління / Центральної розрахункової палати Національного банку

Глава 14. Порядок використання і зберігання засобів захисту в разі виникнення надзвичайних ситуацій

Глава 13. Повернення засобів захисту

Глава 12. Перевірка готовності організації до включення в СЕП та інформаційні задачі

Глава 11. Організація діловодства з питань захисту інформації

Глава 10. Функціональні обов'язки відповідальних осіб

Глава 9. Призначення відповідальних осіб за роботу із засобами захисту

Глава 8. Порядок зберігання та роботи з ТК програмних засобів захисту

Глава 7. Порядок роботи з ПМГК

Глава 6. Порядок роботи з апаратними засобами захисту

Глава 5. Порядок отримання засобів захисту

Глава 4. Принципи побудови криптографічного захисту інформації

Глава 3. Режимні вимоги до приміщень

Глава 2. Принципи побудови системи захисту

Глава 1. Загальні положення

Правила організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України

Організація захисту електронних банківських документів

Вступ

Література.

Час – 4 год.

Навчальні питання

Лекція 7. Організація захисту електронних банківських документів та банківської таємниці

1.... Організація захисту електронних банківських документів. 1

2.... Захист банківської таємниці 17

  1. Постанова Правління Національного банку України № 112 від 2 квітня 2007 року. "Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України";
  2. Постанова Правління Національного банку України № 243 від 4 липня 2007 року. "Про затвердження Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи";
  3. Постанова Правління Національного банку України № 267 від 14 липня 2006 року. "Про затвердження Правил зберігання, захисту, використання та розкриття банківської таємниці".
  4. Інформаційний лист національного банку України від 31.05.2005 р. № 24-112/876.

 

Дамо відповідь на поставлені раніше запитання: Які вимоги Національного банку України щодо

· правил організації захисту електронних банківських документів?

· захисту банківської таємниці?

Постанова Правління Національного банку України № 112 від 2 квітня 2007 року. "Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України".

 

1.1. Ці Правила розроблені відповідно до статті 7 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність", Законів України "Про платіжні системи та переказ коштів в Україні", "Про електронні документи та електронний документообіг", "Про захист інформації в інформаційно-телекомунікаційних системах" і нормативно-правових актів Національного банку України (далі - Національний банк).

1.2. У тексті Правил скорочення вживаються в такому значенні:

АКЗІ - апаратура криптографічного захисту інформації;

АРМ - автоматизоване робоче місце;

АРМ бухгалтера САБ - автоматизоване робоче місце САБ, на якому здійснюється формування файлів / онлайнових пакетів, які містять початкові платежі СЕП;

АРМ-СЕП - автоматизоване робоче місце АРМ-НБУ з програмними та апаратними засобами захисту інформації, яке призначене для роботи в СЕП;

АРМ-НБУ - автоматизоване робоче місце АРМ-НБУ-інформаційний з програмними засобами захисту інформації, яке призначене для роботи в інформаційних задачах Національного банку;

АС- автоматизована система;

ВК - відкритий ключ;

ГМД - гнучкий магнітний диск;

ЕЦП - електронний цифровий підпис;

засоби захисту - засоби захисту інформації Національного банку;

інформаційні задачі - програмно-технічні комплекси, які забезпечують оброблення та передавання інформації, що не належить до платіжних документів СЕП, з використанням засобів захисту інформації Національного банку між банками України, Національним банком, органами державної влади і небанківськими організаціями;

ПЕОМ - персональна електронна обчислювальна машина;

ПМГК - програмний модуль генерації ключів;

ТК - таємний ключ;

САБ - система автоматизації банку;

СЕП - система електронних платежів;

СК - смарт-картка;

ТВК - таблиця відкритих ключів.

1.3. Правила регламентують порядок отримання, обліку, передавання, використання та зберігання засобів захисту, виконання вимог щодо правил інформаційної безпеки в банках України, їх філіях, органах державної влади, небанківських установах, які є безпосередніми учасниками системи електронних платежів (далі - СЕП) та/або інформаційних задач (далі - організація), які згідно з договором з Національним банком отримали засоби захисту.

1.4. Організації (окрім організацій міста Києва і Київської області) отримують засоби захисту для використання в СЕП та/або інформаційних задачах Національного банку в територіальних управліннях Національного банку за місцем їх знаходження незалежно від моделі обслуговування кореспондентського рахунку в СЕП.

Організації міста Києва і Київської області отримують засоби захисту в Центральній розрахунковій палаті Національного банку.

1.5. Територіальне управління / Центральна розрахункова палата Національного банку надає організаціям засоби захисту, що використовуються в СЕП та/або інформаційних задачах, на підставі договору про використання криптографічних засобів захисту інформації в системі електронних платежів Національного банку України або договору про використання засобів захисту інформації Національного банку України в інформаційних задачах між організацією і територіальним управлінням / Центральною розрахунковою палатою Національного банку за місцезнаходженням організації.

Територіальне управління / Центральна розрахункова палата Національного банку та організація укладають між собою договір про використання криптографічних засобів захисту інформації в системі електронних платежів Національного банку України відповідно до зразка договору про використання криптографічних засобів захисту інформації в системі електронних платежів Національного банку України, викладеного в додатку 6 до Інструкції про міжбанківський переказ коштів в Україні в національній валюті, затвердженої постановою Правління Національного банку України від 16.08.2006 N 320, зареєстрованої в Міністерстві юстиції України 06.09.2006 за N 1035/12909.

Територіальне управління / Центральна розрахункова палата Національного банку та організація укладають між собою договір про використання засобів захисту в інформаційних задачах відповідно до зразка договору про використання засобів захисту інформації Національного банку України в інформаційних задачах, викладеного в додатку 1 до цих Правил. Організації, які є безпосередніми учасниками СЕП, не укладають договір про використання засобів захисту в інформаційних задачах, але в цьому випадку територіальне управління / Центральна розрахункова палата Національного банку та організація в акті про приймання-передавання засобів захисту зобов'язані зазначити програмне забезпечення АРМ-НБУ.

1.6. Територіальне управління / Центральна розрахункова палата Національного банку перевіряє виконання правил роботи із засобами захисту в організаціях, які використовують засоби захисту.

1.7. Правила поширюються на організації, що мають програмні комплекси АРМ-СЕП та/або АРМ-НБУ і засоби захисту.

1.8. Правила не встановлюють вимоги щодо технології та безпеки роботи інших платіжних систем, систем автоматизації банківської діяльності й систем "клієнт-банк".

1.9. Організація зобов'язана узгоджувати з територіальним управлінням / Центральною розрахунковою палатою Національного банку ситуації, які можуть виникати під час роботи із засобами захисту і які не передбачені Правилами, у робочому порядку.

1.10. Керівник організації забезпечує виконання вимог щодо захисту інформації в ній.

2.1. Система захисту електронних банківських документів Національного банку складається з комплексу апаратно-програмних засобів захисту інформаціїтаключової інформаціїдо них,а такожтехнологічнихйорганізаційних заходів.

2.2. Система захисту електронних банківських документів охоплює всі етапи розроблення, упровадження й експлуатації програмно-технічного забезпечення СЕП та інформаційних задач автоматизації банківської діяльності. Ця система визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

2.3. Службові особи організації, які відповідають за захист електронних банківських документів, зобов'язані надавати письмові або усні відомості про стан засобів захисту та їх використання, а також про стан захисту інформації в програмному забезпеченні САБ (у тому числі системи "клієнт-банк", а також інших систем, на які поширюються вимоги Національного банку щодо інформаційної безпеки), технологію оброблення електронних банківських документів в організації та систему захисту інформації під час їх оброблення на вимогу територіального управління / Центральної розрахункової палати Національного банку.

2.4. Організація, яка отримала засоби захисту, не має права передавати їх іншим організаціям або особам, у тому числі й іншим організаціям однієї юридичної особи.

2.5. Організація, яка отримала засоби захисту, не має права використовувати їх в інших платіжних системах банків, у територіально відокремлених відділеннях (філіях) банків, якщо ці відділення (філії) не є безпосередніми учасниками СЕП та/або інформаційних задач, зокрема, якщо їх працівники працюють у САБ банку (філії), системах "клієнт-банк" тощо.

2.6. Організація зобов'язана повідомляти територіальне управління / Центральну розрахункову палату Національного банку про порушення роботи із засобами захисту протягом одного робочого дня. Орієнтований перелік порушень в організації роботи із засобами захисту інформації Національного банку України наведено в додатку 2.

3.1. Організація, яка використовує засоби захисту, зобов'язана мати приміщення, у яких обробляються електронні банківські документи, використовуються та зберігаються в неробочий час засоби захисту, які відповідають вимогам цієї глави.

3.2. Організація зобов'язана розмістити АРМ-СЕП у спеціально виділеному для цього приміщенні з обмеженим доступом, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або системою доступу, яка забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному електронному журналі.

Організація має право розміщувати АРМ-НБУ в приміщенні з АРМ-СЕП або в окремому приміщенні з обмеженим доступом, за винятком приміщення адміністратора захисту інформації, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування або системою доступу, яка забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному електронному журналі.

Організація має право розміщувати АРМ-СЕП та АРМ-НБУ на одній ПЕОМ.

Організація має право розміщувати ПЕОМ з АРМ-СЕП та АРМ-НБУ в серверному приміщенні, якщо цей програмно-апаратний комплекс працює в автоматичному режимі. У цьому разі адміністратор АРМ-СЕП зобов'язаний реагувати на інформаційні повідомлення, які надсилаються на АРМ-СЕП.

3.3. Організація зобов'язана оснастити вікно (вікна) у приміщенні АРМ-СЕП ґратами, якщо воно:

внутрішнє і виходить в інше приміщення або коридор організації;

зовнішнє і розташовується на першому чи останньому поверсі організації;

зовнішнє і розташовується на інших поверхах організації, до яких є доступ з прилеглих об'єктів.

3.4. Організація зобов'язана обладнатиприміщення з АРМ-СЕП/АРМ-НБУ системою охоронної сигналізації з двома рубежами захисту:

перший - установлення сигналізації по периметру;

другий - установлення відповідного обладнання для стеження за переміщенням об'єктів у приміщенні.

3.5. Організація зобов'язана встановити в приміщенні з АРМ-СЕП/АРМ-НБУ сейфи (металеві шафи), призначені для зберігання в неробочий час засобів захисту і документів до них.

3.6. Адміністратор захисту інформації зобов'язаний обліковувати ключі від сейфів (металевих шаф) і печатки для їх опечатування в журналі обліку адміністратора захисту інформації (розділи 5 і 6 додатка 3).

3.7. Адміністратор АРМ-СЕП/АРМ-НБУ, який заступив на зміну, зобов'язаний:

зберігати ключі від вхідних дверей приміщення з АРМ-СЕП/АРМ-НБУ і сейфів (металевих шаф) у робочий час;

замикати або блокувати системою доступу приміщення з АРМ-СЕП/АРМ-НБУ у разі своєї відсутності.

3.8. Адміністратор АРМ-СЕП/АРМ-НБУ має право зберігати ключі від сейфів (металевих шаф) адміністратора АРМ-СЕП/АРМ-НБУ в опечатаному вигляді в приміщенні з АРМ-СЕП/АРМ-НБУ.

3.9. Організація зобов'язана призначати працівників, які мають допуск до приміщення з АРМ-СЕП/АРМ-НБУ, розпорядчим документом, у якому повинні зазначатися всі відповідальні особи і засоби захисту, які вони використовують.

Адміністратор захисту інформації обліковує призначених осіб у журналі обліку адміністратора захисту інформації (розділ 4 додатка 3).

3.10. Право допуску до приміщення з АРМ-СЕП/АРМ-НБУ мають:

керівник організації (або особа, яка виконує його обов'язки);

заступник керівника організації, який призначений відповідальним за організацію захисту електронної банківської інформації;

адміністратори АРМ-СЕП/АРМ-НБУ;

адміністратори захисту інформації;

інші працівники організації, які обслуговують приміщення й АРМ-СЕП/АРМ-НБУ.

3.11. Працівники служби захисту інформації організації (якщо вони не призначені розпорядчим документом організації як відповідальні особи за роботу із засобами захисту) мають право доступу до приміщення з АРМ-СЕП/АРМ-НБУ лише для вирішення питань, що належать до їх компетенції.

3.12. Працівники організації, які мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ, зобов'язані перебувати в приміщенні з АРМ-СЕП/АРМ-НБУ тільки під час виконання своїх обов'язків, що пов'язані з роботою АРМ-СЕП/АРМ-НБУ, і лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ, який заступив на зміну.

Працівники організації мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ на підставі усного розпорядження керівника організації (або особи, яка виконує його обов'язки) лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ для вирішення окремих питань.

3.13. Організація зобов'язана розміщувати АРМ-СЕП та АРМ бухгалтера САБ в окремих приміщеннях з обмеженим доступом.

3.14. Організація подає до територіального управління / Центральної розрахункової палати Національного банку заяву про проведення перевірки виконання режимних вимог до приміщень перед отриманням засобів захисту.

3.15. Організація зобов'язана повідомляти територіальне управління / Центральну розрахункову палату Національного банку, яке надало / яка надала засоби захисту, про зміну свого місцезнаходження та місця розташування АРМ-СЕП протягом трьох робочих днів з часу настання цих змін.

Територіальне управління / Центральна розрахункова палата Національного банку зобов'язане/зобов'язана організувати перевірку виконання режимних вимог до приміщень протягом трьох робочих днів з дня надходження цього повідомлення зі складанням відповідного акта.

3.16. Організація зобов'язана розмістити робоче місце адміністратора захисту інформації в окремому приміщенні з обмеженим доступом та обладнати його сейфом для зберігання засобів захисту, справ і журналу обліку адміністратора захисту інформації тощо. Це приміщення повинно обладнуватися системою охоронної сигналізації з одним рубежем захисту та в неробочий час опечатуватися.

3.17. Організація зобов'язана обладнати робоче місце адміністратора захисту інформації ПЕОМ, яка не підключена до локальної мережі організації, для копіювання ПМГК і генерування ключів відповідальними особами.

3.18. Організація зобов'язана розмістити інші робочі місця САБ, на яких використовуються засоби захисту, у приміщеннях з обмеженим доступом, які обладнані сейфом оператора робочого місця для зберігання ТК.

3.19. Організація має право розміщувати АРМ бухгалтера САБ у будь-якому приміщенні організації з обмеженим доступом, за винятком кімнати з АРМ-СЕП і приміщення адміністратора захисту інформації.

3.20. Організація зобов'язана обладнати сейфи, які використовуються для зберігання засобів захисту, місцем для опечатування.

Сейф з кодовим замком також має обладнуватися місцем для опечатування, що дасть змогу виявляти спроби його несанкціонованого відкривання.

3.21. Організація зобов'язана забезпечити надійне кріплення сейфа для зберігання засобів захисту, який має вагу менше ніж 100 кг і хоча б один з габаритів якого менший, ніж 500 мм, до підлоги, стіни тощо.

3.22. Організація має право використовувати багатосекційний сейф для зберігання засобів захисту за умови, що секція має дверцята з індивідуальним замком і місцем для опечатування.

3.23. Організація має право використовувати секції металевих шаф, які обладнані двома замками, для зберігання ТК. Відповідальна особа зберігає ключ від одного замка, адміністратор захисту інформації - від другого.

3.24. Адміністратор захисту інформації зобов'язаний обліковувати ключі від сейфів (металевих шаф), у яких зберігаються засоби захисту, у журналі обліку адміністратора захисту інформації (розділ 5 додатка 3).

3.25. Організація зобов'язана здійснити заміну відповідного замка або сейфа і провести службове розслідування в разі втрати ключів від сейфів (металевих шаф), у яких зберігаються засоби захисту.

Адміністратор захисту інформації зобов'язаний зберігати матеріали розслідування у справах адміністратора захисту інформації.

3.26. Керівник організації відповідає за виконання режимних вимог до приміщень.

4.1. Система захисту інформації Національного банку створена для забезпечення конфіденційності та цілісності електронної інформації, а також суворої автентифікації учасників СЕП, учасників інформаційних задач і фахівців організацій, які беруть участь у підготовці й обробленні електронних документів.

4.2. У засобах захисту інформації для СЕП та інших інформаційних задачах використовуються механізми суворої автентифікації та формування/перевірки ЕЦП на базі несиметричного алгоритму RSA. Організація отримує від територіального управління / Центральної розрахункової палати Національного банку персональний ПМГК із убудованим ідентифікатором цієї організації для забезпечення роботи цього алгоритму.

4.3. АРМ-СЕП/АРМ-НБУ забезпечує конфіденційність електронних банківських документів, що містять конфіденційну інформацію, за допомогою апаратного/програмного шифрування всіх файлів/пакетів, які обробляються.

АРМ-СЕП і АРМ-НБУ є єдиними програмно-апаратними комплексами, які забезпечують обмін електронною інформацією в СЕП та інформаційних задачах.

Організація зобов'язана виконувати системні вимоги до ПЕОМ та інструкції щодо налаштування комплексів АРМ-СЕП і АРМ-НБУ.

4.4. АРМ-СЕП уключає вбудовані засоби захисту, що забезпечують конфіденційність і цілісність інформації під час її пересилання каналами зв'язку. Убудовані засоби захисту інформації забезпечують два режими роботи АРМ-СЕП - з використанням апаратних і програмних засобів захисту.

4.5. АРМ-НБУ включає вбудовані програмні засоби захисту, які забезпечують програмне шифрування.

4.6. Використання стандартизованих криптографічних алгоритмів у вбудованих засобах захисту гарантує задану криптостійкість. Криптографічні алгоритми не становлять таємниці. Криптостійкість засобів захисту забезпечується криптостійкістю алгоритмів та ключової інформації і ключів, тому інформація про це належить до інформації з обмеженим доступом, яка має гриф "Банківська таємниця" і розголошенню не підлягає.

4.7. Національний банк виконує побудову ключової системи криптографічного захисту. Ця система складається з ключів програмних засобів захисту, що генеруються в організаціях за допомогою наданих ПМГК, і ключів апаратних засобів захисту, які генеруються безпосередньо за допомогою АРМ-СЕП.

4.8. Організація, яка використовує засоби захисту, зобов'язана виконувати організаційні вимоги щодо їх отримання, використання та зберігання і своєчасної заміни відповідних ключів до них.

Територіальне управління / Центральна розрахункова палата Національного банку має право вилучати з організації засоби захисту в разі невиконання вимог щодо використання та зберігання засобів захисту і режимних вимог до приміщень.

4.9. Організація забезпечує захист електронних документів за допомогою таких засобів захисту:

а) апаратні засоби захисту для СЕП:

АКЗІ;

СК;

програмне забезпечення керування АКЗІ (убудоване в АРМ-СЕП і не може бути вилучене);

б) програмні засоби захисту для СЕП та інформаційних задач:

програмний модуль для шифрування (убудований в АРМ-СЕП та АРМ-НБУ);

ПМГК (з відповідними незаповненими ТВК);

бібліотеки накладання/перевірки ЕЦП (Національний банк надає безкоштовно всім організаціям, які використовують засоби захисту, для вбудовування в програмне забезпечення САБ або інше відповідне програмне забезпечення).

4.10. Основними засобами захисту в АРМ-СЕП є АКЗІ.

Адміністратор АРМ-СЕП зобов'язаний здійснити перехід до роботи з програмними засобами захисту в разі виходу з ладу АКЗІ.

4.11. Територіальне управління / Центральна розрахункова палата Національного банку надає організації АКЗІ разом із СК та/або ПМГК відповідно до встановленого порядку (глава 5 цих Правил).

4.12. Вимоги глави 6 цих Правил "Порядок роботи з апаратними засобами захисту" не стосуються організацій, які не беруть безпосередньої участі в СЕП.

4.13. Адміністратор захисту інформації організації здійснює зняття копії з ПМГК, а також знищення копії ПМГК. Знищення виконується методом, що унеможливлює її відновлення (наприклад, за допомогою подвійного переформатування дискети).

4.14. ПМГК генерує пару ключів одночасно, яка складається з ТК і ВК.

4.15. Територіальне управління / Центральна розрахункова палата Національного банку перевіряє порядок їх зберігання та використання.

4.16. В організації використовуються такі засоби захисту:

N з/п Найменування засобів захисту Кількість
АКЗІ
СК
ПМГК
Копія ПМГК
ТК АРМ-СЕП
ТК АРМ-НБУ
ТК АРМ бухгалтера САБ За кількістю відповідальних осіб, але не більше 5
ТК технолога За кількістю відповідальних осіб, але не більше 5
ТК операціоністів За кількістю відповідальних осіб
ТК інших робочих та технологічних місць для інформаційних задач За вказівками Департаменту інформатизації Національного банку

 

Примітка. Засоби захисту, які зазначені в рядках 1, 2, 5, 7, 8, 9 таблиці, використовуються лише в організаціях - безпосередніх учасниках СЕП.

4.17. Територіальне управління / Центральна розрахункова палата Національного банку, з яким/якою укладено договір про використання криптографічних засобів захисту інформації в системі електронних платежів / інформаційних задачах Національного банку, вирішує усі питання, які пов'язані з організацією захисту інформації за допомогою засобів захисту.

Територіальне управління / Центральна розрахункова палата Національного банку надає консультації щодо супроводження АРМ-СЕП/АРМ-НБУ, а також технологічного процесу проходження електронних платежів у СЕП та електронних документів в інформаційних задачах.

5.1. Відповідальна особа організації зобов'язана прибути до територіального управління / Центральної розрахункової палати Національного банку з документами, які засвідчують особу та надають право на отримання/заміну засобів захисту.

5.2. Документ на отримання/заміну засобів захисту скріплюється відбитком печатки організації.

Територіальне управління / Центральна розрахункова палата Національного банку зберігає цей документ.

5.3. Фінансові, матеріально-технічні та інші служби організації не мають права обліковувати засоби захисту, які отримані, у бухгалтерському обліку та звітності.

5.4. Територіальне управління / Центральна розрахункова палата Національного банку зберігає перший примірник, а організація - другий примірник акта про приймання-передавання засобів захисту інформації Національного банку України (додаток 4), за яким засоби захисту передаються в організацію.

5.5. Адміністратор захисту інформації зобов'язаний після отримання засобів захисту зробити відповідний запис у журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

6.1. Адміністратор захисту інформації зобов'язаний передати АКЗІ адміністратору АРМ-СЕП, який перебуває на зміні, і зафіксувати це в журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

Адміністратор АРМ-СЕП зобов'язаний отримати АКЗІ та зробити відповідний запис у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5).

Адміністратор АРМ-СЕП зобов'язаний установити АКЗІ та забезпечити постійне її підключення до ПЕОМ, у якій розташований програмно-апаратний комплекс АРМ-СЕП.

6.2. Адміністратор АРМ-СЕП, який перебуває на зміні, зобов'язаний перед уведенням АКЗІ в роботу забезпечити виконання всіх вимог до технічних умов експлуатації АКЗІ, які наведені в документації до неї.

6.3. Адміністратор АРМ-СЕП зобов'язаний згенерувати ТК АКЗІ за допомогою програмно-апаратного комплексу АРМ-СЕП для введення АКЗІ в експлуатацію і записати копію ТК АКЗІ АРМ-СЕП на другу (резервну) СК під час генерації ключів.

Адміністратор захисту інформації надсилає ВК АКЗІ на сертифікацію до Національного банку.

Адміністратор АРМ-СЕП уводить АКЗІ в експлуатацію після отримання сертифіката ВК, автоматичного включення його до ТВК АКЗІ та здійснення відповідних налаштувань АРМ-СЕП.

6.4. Адміністратори АРМ-СЕП зобов'язані передавати АКЗІ між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5), який вони ведуть і зберігають у приміщенні з АРМ-СЕП.

6.5. Адміністратор АРМ-СЕП зобов'язаний здійснити заміну АКЗІ разом із СК у разі її виходу з ладу або на вимогу територіального управління / Центральної розрахункової палати Національного банку.

6.6. Адміністратор захисту інформації організації в разі виходу АКЗІ з ладу в процесі експлуатації зобов'язаний:

а) повідомити засобами електронної пошти територіальне управління / Центральну розрахункову палату Національного банку (поштова скринька v32rpal) про перехід на резервні програмні засоби захисту;

б) забезпечити переведення АРМ-СЕП на роботу з програмними засобами захисту за допомогою відповідного настроювання АРМ-СЕП за погодженням з територіальним управлінням / Центральною розрахунковою палатою Національного банку;

в) забезпечити продовження роботи АРМ-СЕП у звичайному режимі з використанням програмних засобів захисту;

г) забезпечити доставку до територіального управління / Центральної розрахункової палати Національного банку:

АКЗІ разом з актом про приймання-передавання засобів захисту інформації Національного банку України (додаток 4), один примірник якого зберігає територіальне управління / Центральна розрахункова палата Національного банку, другий - організація;

СК із записом їх номерів в акті про приймання-передавання засобів захисту;

ґ) зробити відмітку про повернення АКЗІ, що виведена з експлуатації, у журналі обліку адміністратора захисту інформації (розділ 2 додатка 4);

д) отримати новий комплект АКЗІ разом із СК;

е) повідомити засобами електронної пошти територіальне управління / Центральну розрахункову палату Національного банку (поштові скриньки ZAHIST і v32rpal) про готовність до переходу на апаратні засоби захисту після отримання АКЗІ і генерації ключів АКЗІ. Перехід на апаратні засоби захисту повинен здійснюватися лише на початку банківського дня за погодженням з територіальним управлінням / Центральною розрахунковою палатою Національного банку;

є) одержати консультацію та узгодити подальші дії з територіальним управлінням / Центральною розрахунковою палатою Національного банку в разі виникнення збоїв у роботі АКЗІ під час відкривання банківського дня (на стадії переходу на роботу з використанням АКЗІ);

ж) провести відповідне службове розслідування в разі пошкодження АКЗІ та СК, копію матеріалів якого подати до територіального управління / Центральної розрахункової палати Національного банку.

6.7. Адміністратор захисту інформації в разі втрати АКЗІ або СК зобов'язаний:

а) ужити заходів, що передбачені пунктом 6.6 цієї глави;

б) провести відповідне службове розслідування, копію матеріалів якого подати до територіального управління / Центральної розрахункової палати Національного банку.

6.8. Адміністратор захисту інформації в разі пошкодження голографічної наклейки на АКЗІ зобов'язаний:

а) вивести АКЗІ з експлуатації;

б) ужити заходів, що передбачені пунктом 6.6 цієї глави;

в) провести відповідне службове розслідування, копію матеріалів якого подати до територіального управління / Центральної розрахункової палати Національного банку.

6.9. Адміністратор АРМ-СЕП зобов'язаний зберігати СК для АКЗІ у сейфі в неробочий час і в робочий час, якщо вони не використовуються в роботі.

6.10. Адміністратори АРМ-СЕП зобов'язані передавати СК між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5), який вони ведуть і зберігають у приміщенні з АРМ-СЕП.

6.11. Адміністратор АРМ-СЕП зобов'язаний перейти на роботу з резервною СК у разі виходу з ладу СК і звернутися до територіального управління / Центральної розрахункової палати Національного банку для її заміни.

Адміністратор АРМ-СЕП зобов'язаний вивести АКЗІ з експлуатації в разі виходу з ладу й резервної СК, а адміністратор захисту інформації - ужити заходів, передбачених у пункті 6.6 цієї глави.

6.12. Адміністратор АРМ-СЕП зобов'язаний здійснювати своєчасну генерацію ключа АКЗІ у зв'язку із закінченням строку його дії.

7.1. Адміністратор захисту інформації після отримання ПМГК зобов'язаний:

а) зняти копію ПМГК за допомогою засобів, які є на дискеті з ПМГК;

б) зареєструвати ПМГК і його копію в журналі обліку адміністратора захисту інформації (розділи 2, 7 додатка 3);

в) здійснити перевірку ПМГК та його копії шляхом пробної генерації ключів;

г) забезпечити генерацію ключів для всіх робочих місць в організації, у якій використовуються засоби захисту.

7.2. Адміністратор захисту інформації в разі негативних результатів перевірки зобов'язаний:

а) повідомити про це електронною поштою територіальне управління / Центральну розрахункову палату Національного банку протягом одного робочого дня і діяти відповідно до їх рекомендацій;

б) повернути до територіального управління / Центральної розрахункової палати Національного банку ПМГК разом з актом про приймання-передавання засобів захисту інформації Національного банку України (додаток 4). В акті повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення ПМГК. Територіальне управління / Центральна розрахункова палата Національного банку зберігає перший примірник цього акта, організація - другий;

в) зареєструвати ПМГК, що не пройшов перевірки, у журналі обліку адміністратора захисту інформації (додаток 3) з відповідним записом про його повернення до територіального управління / Центральної розрахункової палати Національного банку;

г) знищити копію ПМГК, що не пройшов перевірки.

7.3. Адміністратори захисту інформації зобов'язані передавати ПМГК і його робочу копію між собою з фіксуванням у журналі обліку адміністратора захисту інформації (розділ 7 додатка 3).

7.4. Адміністратор захисту інформації зобов'язаний зберігати ПМГК і його робочу копію в неробочий час і в робочий час, якщо він не використовується в роботі, у сейфі. Адміністратор захисту інформації зобов'язаний замкнути й опечатати сейф відбитком особистої печатки.

7.5. Організація зобов'язана повернути ПМГК до територіального управління / Центральної розрахункової палати Національного банку разом з актом про приймання-передавання засобів захисту інформації Національного банку України (додаток 4) після завершення строку використання (Національний банк встановлює дату). У цьому акті повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення. Територіальне управління / Центральна розрахункова палата Національного банку зберігає перший примірник цього акта, організація - другий.

Організація зобов'язана знищити робочу копію ПМГК (якщо немає інших вимог Національного банку) на місці методом, який унеможливлює її відновлення (наприклад, шляхом подвійного переформатування дискети), і скласти акт про знищення засобів захисту інформації Національного банку України (додаток 6). Територіальне управління / Центральна розрахункова палата Національного банку зберігає перший примірник цього акта, організація - другий.

Адміністратор захисту інформації зобов'язаний зробити відповідний запис про повернення ПМГК до територіального управління / Центральної розрахункової палати Національного банку та знищення його копії в організації із зазначенням номерів і дат відповідних актів у журналі обліку адміністратора захисту інформації (розділ 2 додатка 3).

7.6. Адміністратор захисту інформації в разі псування ГМД з копією ПМГК до завершення строку його використання зобов'язаний:

а) зняти копію ПМГК повторно;

б) унести відповідну інформацію до журналу обліку адміністратора захисту інформації (розділ 2 додатка 3);

в) повідомити територіальне управління / Центральну розрахункову палату Національного банку про заміну копії ПМГК і нові номери сеансів генерації ключів, які надаватимуться цією копією ПМГК під час наступних сеансів генерації ключів.

7.7. Адміністратор захисту інформації в разі втрати ПМГК (та/або його копії) або втрати контролю за місцезнаходженням ПМГК та/або його копії зобов'язаний:

а) проінформувати про це електронною поштою територіальне управління / Центральну розрахункову палату Національного банку і замовити новий ПМГК (додаток 7);

б) не проводити генерації ключів до отримання нового ПМГК;

в) провести службове розслідування, копію матеріалів якого подати до територіального управління / Центральної розрахункової палати Національного банку;

г) отримати новий ПМГК відповідно до встановленого порядку і надалі вживати заходів, що передбачені в пунктах 7.1 - 7.6 цієї глави (діючі ТК мають право використовуватися до закінчення строку їх дії).

7.8. Організація зобов'язана здійснити заміну ПМГК відповідно до пункту 7.7 цієї глави, не припиняючи роботу в СЕП та/або в інформаційних задачах, якщо адміністратор захисту інформації, який безпосередньо працював з ПМГК, звільняється з організації або переходить у цій самій організації на роботу до іншого підрозділу.

Відповідальні особи зобов'язані провести генерацію ТК після отримання нового ПМГК для всіх робочих місць організації.

Службове розслідування в цьому разі не проводиться.

7.9. Відповідальна особа, яка працюватиме з ключем, зобов'язана генерувати кожен ключ за допомогою ПМГК на робочому місці, яке відповідає вимогам пункту 3.17 глави 3 цих Правил, у присутності адміністратора захисту інформації.

Адміністратор захисту інформації зобов'язаний реєструвати всі спроби генерації ключів, у тому числі й невдалі, у журналі обліку адміністратора захисту інформації (розділ 3 додатка 3).

7.10. Відповідальна особа має право під час генерації записати ТК на ГМД, на апаратному носії ключа Touch Memory (далі - Touch Memory) або на іншому носії за погодженням з Національним банком. ВК після їх генерації (ключі операціоністів сертифікації не потребують) підлягають сертифікації в Національному банку.

Відповідальна особа зобов'язана забезпечити внесення сертифікатів ВК, які передані організації Національним банком, до ТВК, які зберігаються на жорсткому диску ПЕОМ, відповідно до технології оброблення інформації.

7.11. Відповідальна особа має право створити копії ТК (за винятком ТК операціоністів САБ) для запобігання зупиненню роботи організації в СЕП та/або в інформаційних задачах у разі псування ГМД з ТК за умови наявності розпорядчого документа організації про створення копій ТК з обов'язковим визначенням відповідальних за їх зберігання осіб і з фіксуванням цього в журналі генерації ключів.

7.12. Відповідальна особа зобов'язана знищувати ТК і їх копії в присутності адміністратора захисту інформації методом, який гарантує неможливість їх відновлення.

Адміністратор захисту інформації зобов'язаний зробити запис про це в журналі обліку адміністратора захисту інформації (розділ 3 додатка 3).

7.13. Відповідальна особа, яка проводить генерацію ключа і надалі працює з ним, зобов'язана встановити індивідуальний пароль для ТК (за необхідності - його копії).

7.14. На створені копії ПМГК і ТК поширюються всі вимоги щодо інформаційної безпеки, як і на основні засоби захисту інформації.

7.15. Заборонено використання копій у разі:

втрати ПМГК;

втрати ТК;

виявлення факту зберігання або перебування ТК, ПМГК у сторонніх осіб;

втрати контролю за місцезнаходженням ТК, ПМГК або їх копій, унаслідок чого можливе їх несанкціоноване копіювання.

8.1. У разі використання апаратних носіїв ключової інформації (Touch Memory) зберігання таких носіїв у сейфі в неробочий час є необов'язковим.

Організація має право використовувати Touch Memory з ТК для розв'язання інших завдань організації (обмеження доступу до комп'ютерів, приміщень тощо).

8.2. Відповідальні особи зобов'язані суворо дотримуватися правил використання та зберігання ТК для унеможливлення їх несанкціонованого копіювання в разі використання ГМД як носіїв ТК.

8.3. У разі використання на робочих місцях САБ та/або інформаційних задач, що функціонують в операційному середовищі UNIX із засобами захисту, заборонено використовувати ГМД як носіїв ТК. У такому разі відповідальна особа під час генерації записує ТК на ГМД.

Відповідальна особа, адміністратор захисту інформації або адміністратор САБ забезпечують копіювання цього файла з ТК у захищену директорію, яка доступна для читання тільки з робочого місця саме цієї відповідальної особи, з відповідним записом у журналі обліку адміністратора захисту інформації та обов'язковим підписом особи, яка копіювала ТК у захищену директорію.

Відповідальна особа зберігає ГМД з ТК у власному сейфі або сейфі адміністратора захисту інформації в запечатаному конверті з підписом відповідальної особи до закінчення строку його дії.

Відповідальна особа зобов'язана знищити ТК після закінчення строку його дії.

8.4. Відповідальна особа зобов'язана зберігати ТК (і за необхідності їх копії) у неробочий час у власному сейфі, який має бути замкнутим і опечатаним відбитком її особистої печатки.

8.5. Адміністратори АРМ-СЕП/АРМ-НБУ зобов'язані передавати ТК АРМ-СЕП/АРМ-НБУ (і за необхідності їх копії) між собою з фіксуванням у журналі приймання-передавання засобів захисту інформації Національного банку України адміністратора АРМ-СЕП/АРМ-НБУ (додаток 5).

Запис у журналі не робиться в разі наявності в адміністраторів АРМ-СЕП/АРМ-НБУ відповідних копій ТК.

8.6. Адміністратор захисту інформації має право забезпечити зберігання всіх або частини ТК відповідальних осіб у неробочий час у власному сейфі, якщо немає достатньої кількості особистих сейфів.

Адміністратор захисту інформації зобов'язаний зберігати кожний ТК в окремій упаковці, опечатаній особистою печаткою відповідальної особи, або в окремому запечатаному конверті з особистим підписом відповідальної особи.

Адміністратор захисту інформації зобов'язаний видавати ТК відповідальним особам для роботи і приймати їх на зберігання з реєстрацією в журналі обліку адміністратора захисту інформації (розділ 8 додатка 3).

Адміністратор захисту інформації зобов'язаний замикати й опечатувати сейф відбитком особистої печатки за наявності в ньому ТК.

8.7. ТК мають обмежений строк дії, що встановлюється під час сертифікації ВК. Для ключів операціоністів, які не підлягають сертифікації, строк дії ключа становить 100 днів.

Відповідальна особа зобов'язана здійснювати своєчасну генерацію ТК у зв'язку із закінченням строку його дії.

8.8. Адміністратор захисту інформації організації зобов'язаний вести архів ВК операціоністів для забезпечення можливості перевірки ЕЦП операціоністів протягом усього строку зберігання архівів електронних банківських документів.

Строк зберігання архівів ВК операціоністів відповідає строку зберігання електронних банківських документів.

8.9. Адміністратор захисту інформації зобов'язаний здійснювати контроль за строком дії ключів, забезпечувати своєчасну їх генерацію відповідальними особами і сертифікацію ВК з метою уникнення невиправданої зупинки роботи організації.

8.10. Відповідальна особа організації зобов'язана знищувати ТК (та їх копії) після закінчення строку дії з відповідним записом у журналі обліку адміністратора захисту інформації (розділ 3 додатка 3).

ТК не вносяться до архіву електронних банківських документів.

8.11. Відповідальна особа організації в разі псування ГМД з ТК до завершення строку його дії зобов'язана:

а) зняти ще одну копію ТК (у разі її наявності) або здійснити генерацію цього ключа;

б) унести відповідні записи до журналу обліку адміністратора захисту інформації (розділ 3 додатка 3).

8.12. Відповідальна особа в разі компрометації ТК зобов'язана:

а) припинити використання цього ТК;

б) повідомити електронною поштою територіальне управління / Центральну розрахункову палату Національного банку, якщо це був ТК АРМ-СЕП або АРМ бухгалтера САБ;

в) забезпечити вилучення відповідного ВК з ТВК (за допомогою ПМГК) у встановленому порядку;

г) забезпечити генерацію нового ТК і надалі вживати заходів щодо його введення в дію.

8.13. Організація зобов'язана в разі втрати контролю за ТК провести службове розслідування, копії матеріалів якого подати до територіального управління / Центральної розрахункової палати Національного банку.

8.14. Адміністратор захисту інформації зобов'язаний забезпечити вилучення з роботи відповідних ВК у встановленому порядку, якщо відповідальна особа, яка має ТК для будь-якого робочого місця, звільняється з організації або виконує в цій організації інші функціональні обов'язки.

8.15. Організація зобов'язана затвердити внутрішній порядок зберігання ТК залежно від конкретних умов її функціонування, забезпечивши дотримання вимог цих Правил.

9.1. Організація зобов'язана призначити для роботи із засобами захисту таких відповідальних осіб:

адміністратора захисту інформації;

адміністратора АРМ-СЕП/АРМ-НБУ;

оператора АРМ бухгалтера САБ;

технолога САБ;

операціоніста;

операторів робочих і технологічних місць САБ та інформаційних задач.

9.2. Організація подає до територіального управління / Центральної розрахункової палати Національного банку копію наказу про призначення відповідальних за роботу із засобами захисту осіб протягом трьох робочих днів з часу їх призначення.

9.3. Адміністратор захисту інформації має право надати дозвіл на роботу на АРМ-СЕП/АРМ-НБУ, робочих і технологічних місцях САБ та інформаційних задач відповідальним за роботу із засобами захисту особам після їх ознайомлення з нормативно-правовими актами Національного банку, іншими документами з питань інформаційної безпеки.

Адміністратор захисту інформації зобов'язаний ознайомити відповідальних осіб з правилами роботи та зберігання ТК.

Відповідальна особа зобов'язана підписати відповідне зобов'язання (додаток 8).

9.4. Організація подає до територіального управління / Центральної розрахункової палати Національного банку копію розпорядчого документа про призначення адміністратора захисту інформації протягом трьох робочих днів з часу його призначення.

Адміністратор захисту інформації зобов'язаний ознайомитися з нормативно-правовими актами Національного банку з питань захисту інформації та підписати зобов'язання адміністратора захисту інформації (додаток 9).

Територіальне управління / Центральна розрахункова палата Національного банку зобов'язане/зобов'язана зробити відмітку про проведення перевірки знання відповідних нормативно-правових актів Національного банку та обов'язків адміністратора захисту інформації і зберігати копію цього зобов'язання.

9.5. Територіальне управління / Центральна розрахункова палата Національного банку має право звернутися до керівника організації з пропозицією призначити нового адміністратора захисту інформації в разі неналежного виконання або невиконання ним своїх обов'язків.

9.6. Відповідальні за роботу із засобами захисту особи зобов'язані мати особисті печатки (штампи, пломбіратори тощо) для опечатування засобів захисту, сейфів і приміщення з АРМ-СЕП/АРМ-НБУ.

Адміністратор захисту інформації зобов'язаний зареєструвати печатки (штампи, пломбіратори) у журналі обліку адміністратора захисту інформації (розділ 6 додатка 3).

Відповідальні особи не мають права передавати між собою печатки (штампи, пломбіратори) для тимчасового користування.

9.7. Організація зобов'язана подавати до територіального управління / Центральної розрахункової палати Національного банку копію наказу про звільнення від виконання відповідних функцій в організації або покладення на нього виконання інших функцій, у тому числі й пов'язаних з вирішенням питань захисту електронної інформації в тій самій організації, адміністратора захисту інформації та адміністратора АРМ-СЕП/АРМ-НБУ.

9.8. Організація забезпечує підбір відповідальних для роботи із засобами захисту осіб згідно з таблицею суміщення функціональних обов'язків (додаток 10) з метою дотримання вимог інформаційної безпеки.

10.1. Адміністратор захисту інформації зобов'язаний:

знати нормативно-правові акти Національного банку з питань організації захисту електронної банківської інформації і застосовувати їх у роботі;

виконувати вимоги щодо інформаційної безпеки в організації та підписати зобов'язання адміністратора захисту інформації;

забезпечувати конфіденційність системи захисту інформації в організації;

отримувати засоби захисту і проводити їх заміну в територіальному управлінні / Центральній розрахунковій палаті Національного банку;

здійснювати тестування ПМГК та брати участь у тестуванні інших засобів захисту;

вести листування з територіальним управлінням / Центральною розрахунковою палатою Національного банку з питань інформаційної безпеки;

ознайомлювати відповідальних осіб організації з нормативно-правовими актами Національного банку з питань захисту інформації та перевіряти знання правил використання і зберігання ТК й інших засобів захисту;

забезпечувати відповідальних осіб засобами захисту;

вести облік засобів захисту і здійснювати контроль за їх прийманням-передаванням;

вести справи адміністратора захисту інформації і забезпечувати їх збереження;

забезпечувати генерацію ключів відповідальними особами;

зберігати ПМГК і його копії;

забезпечувати належне зберігання засобів захисту;

забезпечувати відправлення на сертифікацію ВК, що потребують сертифікації;

вести архів ВК операціоністів;

здійснювати знищення копій ПМГК у встановленому порядку;

здійснювати контроль за дотриманням відповідальними особами правил інформаційної безпеки під час роботи із засобами захисту та їх зберігання;

здійснювати контроль за своєчасною заміною ТК відповідальними особами;

здійснювати контроль за змінами ТВК;

здійснювати контроль за правильним і своєчасним знищенням відповідальними особами ТК та їх копій;

здійснювати перевірки відповідності приміщень з АРМ-СЕП/АРМ-НБУ і сейфів, у яких зберігаються засоби захисту, вимогам інформаційної безпеки;

здійснювати контроль за веденням журналів адміністратора АРМ-СЕП/АРМ-НБУ;

здійснювати контрольні перевірки відповідно до пункту 16.3 глави 16 цих Правил;

інформувати керівника організації і територіальне управління / Центральну розрахункову палату Національного банку про виявлені недоліки, що можуть загрожувати безпеці електронної банківської інформації;

брати участь (за письмовим або усним рішенням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

10.2. Адміністратор АРМ-СЕП/АРМ-НБУ організації зобов'язаний:

знати (у частині, що стосується його повноважень) нормативно-правові акти Національного банку з питань організації захисту електронної інформації і застосовувати їх у роботі;

забезпечувати конфіденційність системи захисту інформації;

забезпечувати технологічну дисципліну в роботі з програмно-апаратним комплексом АРМ-СЕП/АРМ-НБУ;

здійснювати генерацію ключів АРМ-СЕП/АРМ-НБУ;

здійснювати контроль за строком дії ключів АРМ-СЕП/АРМ-НБУ і своєчасну генерацію (з урахуванням часу на сертифікацію) нових ключів АРМ-СЕП/АРМ-НБУ;

здійснювати зберігання ТК АРМ-СЕП/АРМ-НБУ (за необхідності - їх копій), АКЗІ та СК для АРМ-СЕП;

забезпечувати зберігання засобів захисту під час їх перебування в адміністратора АРМ-СЕП/АРМ-НБУ;

уносити необхідні зміни до ТВК АРМ-СЕП/АРМ-НБУ;

знищувати в установленому порядку ТК АРМ-СЕП/АРМ-НБУ та їх копії;

здійснювати перевірки відповідності приміщення з АРМ-СЕП/АРМ-НБУ і сейфа адміністратора АРМ-СЕП/АРМ-НБУ вимогам інформаційної безпеки;

дотримуватися режиму допуску до приміщення з АРМ-СЕП/АРМ-НБУ;

здавати під охорону і знімати з охорони приміщення з АРМ-СЕП/АРМ-НБУ;

вести журнал адміністратора АРМ-СЕП/АРМ-НБУ;

інформувати адміністратора захисту інформації про виявлення недоліків, що можуть загрожувати безпеці електронних банківських документів;

брати участь (за рішенням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

10.3. Оператори АРМ бухгалтера САБ, операціоністи та оператори інших робочих і технологічних місць САБ та інформаційних задач, які працюють із засобами захисту, зобов'язані:

знати (у частині, що стосується їх повноважень) нормативно-правові акти Національного банку з питань організації захисту електронної інформації і застосовувати їх у роботі;

дотримуватися конфіденційності відомостей про систему захисту інформації організації;

забезпечувати технологічну дисципліну в роботі з програмним забезпеченням робочого місця;

виконувати правила використання і зберігання засобів захисту;

здійснювати генерацію власних ключів;

здійснювати контроль за строком дії ключів і своєчасною генерацією (з урахуванням часу на сертифікацію) нових ключів;

зберігати (за наявності особистого сейфа) власний ТК (за необхідності - його копію);

передавати в установленому порядку на зберігання (якщо немає особистого сейфа) власний ТК (і його копію) адміністратору захисту інформації;

забезпечувати схоронність засобів захисту під час їх використання;

здійснювати знищення в установленому порядку власних ТК (і їх копій);

вести журнал обліку оператора робочих і технологічних місць САБ у разі передавання ТК робочого місця іншій відповідальній особі;

інформувати адміністратора захисту інформації про виявлення недоліків, що загрожують безпеці електронної банківської інформації;

брати участь (за письмовим або усним рішенням керівника організації) у розгляді фактів порушення правил інформаційної безпеки.

10.4. Організація зобов'язана дотримуватися такого порядку допуску відповідальних осіб до засобів захисту:

допуск до ПМГК для роботи з ним мають лише адміністратори захисту інформації;

допуск до роботи з АКЗІ, СК, ТК АРМ-СЕП/АРМ-НБУ мають тільки адміністратори АРМ-СЕП/АРМ-НБУ;

допуск до ТК робочих і технологічних місць САБ та інформаційних задач має відповідальна особа і тільки до власного ТК;

відповідальні особи працюють з ПМГК лише в присутності адміністратора захисту інформації;

адміністратори захисту інформації виконують свої функціональні обов'язки і контрольні функції під час роботи з ТВК на АРМ-СЕП/АРМ-НБУ та інших робочих місцях лише в присутності відповідальних осіб.

11.1. Діловодство з питань захисту інформації електронних банківських документів в організації ведуть:

адміністратор захисту інформації;

адміністратор АРМ-СЕП/АРМ-НБУ.

11.2. Адміністратор захисту інформації зобов'язаний вести:

справу N 1 адміністратора захисту інформації;

справу N 2 адміністратора захисту інформації;

журнал обліку адміністратора захисту інформації (додаток 3).

11.3. Адміністратор захисту інформації зобов'язаний зберігати у справі N 1 адміністратора захисту інформації такі документи довгострокового користування:

а) нормативно-правові акти Національного банку, рекомендації територіального управління / Центральної розрахункової палати Національного банку з питань захисту інформації;

б) останній акт про перевірку територіальним управлінням / Центральною розрахунковою палатою Національного банку організації захисту електронної банківської інформації;

в) зобов'язання відповідальних за роботу із засобами захисту осіб (додатки 8, 9);

г) акт про приймання-передавання засобів захисту;

ґ) довідку з підписом керівника організації про дії відповідальних за роботу із засобами захисту осіб у разі виникнення надзвичайних ситуацій;

д) інші документи з питань захисту інформації.

11.4. Адміністратор захисту інформації зобов'язаний зберігати в справі N 2 адміністратора захисту інформації такі документи короткострокового користування:

а) супровідні листи (додаток 7);

б) акт про знищення засобів захисту інформації Національного банку України (додаток 6);

в) акт про приймання-передавання засобів захисту;

г) акт про повернення до територіального управління / Центральної розрахункової палати Національного банку, знищення і передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку (додаток 11);

ґ) інші документи з питань захисту інформації.

11.5. До справ N 1, 2 адміністратора захисту інформації не включаються документи з питань загальної безпеки, що не стосуються захисту електронних банківських документів.

11.6. Листи територіального управління / Центральної розрахункової палати Національного банку (або їх копії), що надходять електронною поштою, повинні або включатися до справ N 1, 2, або реєструватися, зберігатися і знищуватися відповідно до правил діловодства організації.

11.7. Адміністратор АРМ-СЕП/АРМ-НБУ зобов'язаний вести журнал обліку адміністратора АРМ-СЕП/АРМ-НБУ, у якому реєструється приймання-передавання засобів захисту на АРМ-СЕП/АРМ-НБУ.

12.1. Територіальне управління / Центральна розрахункова палата Національного банку зобов'язане/зобов'язана перевірити готовність організації до включення в СЕП та інформаційні задачі, у яких використовуються засоби захисту, після вжиття організацією необхідних первинних заходів щодо організації захисту електронної банківської інформації відповідно до вимог, що визначаються цими Правилами та іншими нормативно-правовими актами Національного банку.

12.2. Підставою для перевірки є відповідне розпорядження територіального управління / Центральної розрахункової палати Національного банку.

12.3. Під час перевірки розглядаються такі питання:

а) наявність технічних можливостей для організації робочих місць відповідальних за роботу із засобами захисту осіб;

б) стан приміщення з АРМ-СЕП/АРМ-НБУ;

в) наявність відповідальних за роботу із засобами захисту осіб;

г) наявність копій нормативно-правових актів Національного банку щодо забезпечення інформаційної безпеки під час роботи із засобами захисту;

ґ) наявність розпорядчого документа організації про призначення відповідальних за роботу із засобами захисту осіб і зобов'язань усіх відповідальних осіб;

д) перевірка знань нормативно-правових актів, що регламентують порядок забезпечення інформаційної безпеки під час роботи із засобами захисту.

12.4. За результатами перевірки складається відповідний акт (додаток 12).

За наявності недоліків, що можуть впливати на безпеку електронних банківських документів, складається акт із зазначенням виявлених недоліків та встановленням строку їх усунення.

12.5. Територіальне управління / Центральна розрахункова палата Національного банку вирішує питання про надання організації необхідних засобів захисту і документів, що регламентують правила інформаційної безпеки під час роботи з ними, у робочому порядку.

12.6. Завершальним етапом підготовки організації до включення в СЕП є генерація і сертифікація ключів для АРМ-СЕП, що мають проводитися за один робочий день до включення організації до довідника учасників СЕП.

13.1. Організація зобов'язана повернути засоби захисту до територіального управління / Центральної розрахункової палати Національного банку в разі:

а) ліквідації;

б) припинення роботи із засобами захисту;

в) виявлення порушень в організації захисту електронних банківських документів.

13.2. Організація зобов'язана в разі її ліквідації повернути АКЗІ разом із СК до територіального управління / Центральної розрахункової палати Національного банку протягом трьох робочих днів.

13.3. Організація у випадках, передбачених підпунктом "б" пункту 13.1 цієї глави, зобов'язана:

а) погодити з територіальним управлінням / Центральною розрахунковою палатою Національного банку передбачувані строки і порядок виходу організації із СЕП або переходу на іншу модель роботи, перелік засобів захисту, журналів, які підлягають поверненню до територіального управління / Центральної розрахункової палати Національного банку, передаванню до архіву організації або знищенню на місці;

б) ужити заходів щодо повернення до територіального управління / Центральної розрахункової палати Національного банку, знищення і передавання до архіву засобів захисту, справ, журналів обліку зі складанням акта про повернення до територіального управління / Центральної розрахункової палати Національного банку України, знищення і передавання до архіву засобів захисту інформації Національного банку України, справ і журналів обліку (додаток 11);

в) надіслати до територіального управління / Центральної розрахункової палати Національного банку вищезазначений акт, перший примірник якого зберігає територіальне управління / Центральна розрахункова палата Національного банку, другий - організація.

13.4. У випадках проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, під час якої можуть виникнути умови втрати контролю за засобами захисту, питання про доцільність повернення або знищення засобів захисту і відповідного програмного забезпечення має вирішуватися залежно від ситуації, що склалася.

14.1. Організація зобов'язана вжити заходів для усунення загрози втрати засобів захисту, електронних архівів, комп'ютерної техніки тощо в разі виникнення надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо). Дії працівників організації, які використовують засоби захисту, регламентуються відповідним документом, що складений у довільній формі, підписаний керівником організації і зберігається у справі N 1 адміністратора захисту інформації. Особи, які працюють із засобами захисту, повинні зберігати виписку з цього документа на своїх робочих місцях.

14.2. Організація має право забезпечити роботу протягом одного робочого дня в приміщенні іншої організації за попереднім узгодженням з територіальним управлінням / Центральною розрахунковою палатою Національного банку і дотриманням правил використання і зберігання засобів захисту в разі виникнення аварійної ситуації (відключення електроживлення, пошкодження ліній зв'язку тощо). Організація в такому випадку зобов'язана видати розпорядчий документ про це, копія якого надсилається до територіального управління / Центральної розрахункової палати Національного банку.

14.3. Організація має право визначити тимчасовий порядок використання та зберігання засобів захисту за попереднім погодженням з територіальним управлінням / Центральною розрахунковою палатою Національного банку за необхідності (ремонтні роботи, переведення АРМ-СЕП/АРМ-НБУ в інше приміщення тощо). Організація в такому випадку зобов'язана видати розпорядчий документ про це, копія якого надсилається до територіального управління / Центральної розрахункової палати Національного банку.

14.4. Організація зобов'язана в разі виявлення фактів компрометації засобів захисту під час перевірки її діяльності правоохоронними органами проінформувати:

правоохоронні органи про


Читайте також:

  1. ДОДАТОК
  2. Додаток
  3. Додаток
  4. Додаток
  5. Додаток
  6. Додаток 1
  7. Додаток 1
  8. Додаток 1.
  9. Додаток 1. Традиційне українське житло
  10. Додаток 11. Способи кріплення мотузки до опори
  11. Додаток 2




Переглядів: 774

<== попередня сторінка | наступна сторінка ==>
Три підходи до управління конфліктами | Інформаційний лист національного банку України від 31.05.2005 р. № 24-112/876

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

 

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.135 сек.