Про затвердження Правил органiзацiї захисту icon

Про затвердження Правил органiзацiї захисту
НазваПро затвердження Правил органiзацiї захисту
Сторінка1/6
Дата25.08.2012
Розмір0.78 Mb.
ТипДокументи
  1   2   3   4   5   6Про затвердження Правил органiзацiї захисту

електронних банкiвських документiв


Постанова Правлiння Нацiонального банку України

вiд 10 червня 1999 року N 280


Зареєстровано в Мiнiстерствi юстицiї України

30 серпня 1999 р. за N 583/3876


З метою належного врегулювання питань органiзацiї захисту

електронних банкiвських документiв, керуючись Законом України "Про

банки i банкiвську дiяльнiсть" та вiдповiдно до Положення про

мiжбанкiвськi розрахунки в Українi, затвердженого постановою

Правлiння Нацiонального банку України вiд 08.10.98 N 414,

Правлiння ПОСТАНОВЛЯЄ:


1. Затвердити Правила органiзацiї захисту електронних

банкiвських документiв в установах, включених до

iнформацiйно-обчислювальної мережi Нацiонального банку України

(додаються) та Правила органiзацiї захисту електронних банкiвських

документiв в установах Нацiонального банку України (додаються).


2. Керiвникам банкiвських установ, начальникам Кримського

республiканського, по м. Києву i областi, обласних, Операцiйного,

Головного управлiнь Нацiонального банку України, начальнику

Центральної розрахункової палати протягом мiсяця з дня набуття

чинностi цiєю постановою привести у вiдповiднiсть iз правилами

органiзацiї захисту електронних банкiвських документiв усi заходи

органiзацiї захисту в установах.


3. Ця постанова набуває чинностi через десять днiв пiсля

державної реєстрацiї в Мiнiстерствi юстицiї України.


Голова В. А. Ющенко


ЗАТВЕРДЖЕНО

постановою Правлiння

Нацiонального банку України

вiд 10 червня 1999 р. N 280


Зареєстровано

в Мiнiстерствi юстицiї України

30 серпня 1999 р. за N 583/3876


^ ПРАВИЛА ОРГАНIЗАЦIЇ ЗАХИСТУ

електронних банкiвських документiв в установах,

включених до iнформацiйно-обчислювальної мережi

Нацiонального банку України


1. Загальнi положення


1.1. Правила органiзацiї захисту електронних банкiвських

документiв в установах, включених до iнформацiйно-обчислювальної

мережi Нацiонального банку України (далi - Правила) розробленi на

основi Положення про мiжбанкiвськi розрахунки в Українi,

затвердженого постановою Правлiння Нацiонального банку України вiд

08.10.98 N 414 (далi - Положення).


1.2. Правила регламентують порядок отримання, облiку,

передачi, використання та зберiгання засобiв криптозахисту НБУ,

виконання правил iнформацiйної безпеки в установах, що є

учасниками iнформацiйно-обчислювальної мережi Нацiонального банку

України.


1.3. Положення цього документа поширюються на всi установи,

що працюють в iнформацiйно-обчислювальнiй мережi НБУ та мають

програмний комплекс АРМ-НБУ й засоби криптографiчного захисту НБУ.

Надалi в текстi такi установи будуть умовно визначатися як

банкiвськi установи.


1.4. Положення цього документа не поширюються на програмнi

комплекси та системи захисту установ, що виконують функцiї, якi не

належать до завдань iнформацiйно-обчислювальної мережi НБУ.


Додатковi вимоги щодо технологiї та безпеки роботи внутрiшнiх

платiжних систем банку та систем "клiєнт-банк", що встановлюються

НБУ, у цьому документi не розглядаються.


1.5. У разi виникнення ситуацiй, не передбачених цим

документом, їх необхiдно розглядати в робочому порядку через

службу захисту iнформацiї регiонального управлiння та управлiння

захисту iнформацiї НБУ.


1.6. Вiдповiдальнiсть за виконання вимог захисту в серединi

банкiвської установи покладається на керiвництво цiєї установи.


2. Принципи побудови системи захисту


2.1. У текстi цих Правил скорочення вживаються у такому

значеннi:


АЗI - адмiнiстратор захисту iнформацiї;


АРМ - автоматизоване робоче мiсце;


ГМД - гнучкий магнiтний диск;


ДСК - для службового користування;


ВК - вiдкритий ключ;


ПЕОМ- персональна електронна обчислювальна машина;


ПМГК - програмний модуль генерацiї ключiв;


РРП - регiональна розрахункова палата;


ТК - таємний ключ;


САБ - система автоматизацiї банку;


СЕП - система електронних платежiв;


ТВК - таблиця вiдкритих ключiв;


ЕК - електронна картка;


ЕЦП - електронний цифровий пiдпис.


2.2. Система захисту електронних банкiвських документiв в

iнформацiйно-обчислювальнiй мережi НБУ побудована згiдно з

додатком 6 до Положення про мiжбанкiвськi розрахунки в Українi.


2.3. Система захисту електронних банкiвських документiв

складається з комплексу апаратно-програмних засобiв

криптографiчного захисту та ключової системи до них, технологiчних

i органiзацiйних заходiв щодо захисту iнформацiї в

iнформацiйно-обчислювальнiй мережi НБУ.


2.4. Система захисту електронних банкiвських документiв

охоплює всi етапи розробки, впровадження та експлуатацiї

програмно-технiчного забезпечення iнформацiйно-обчислювальної

мережi та включає чiткий розподiл вiдповiдальностi на кожному

етапi пiдготовки, обробки та виконання електронних банкiвських

документiв на всiх рiвнях.


2.5. Система захисту електронних банкiвських документiв в

iнформацiйно-обчислювальнiй мережi є єдиною для усiх iнформацiйних

задач НБУ i СЕП. Для пiдвищення ступеня захисту електронних

розрахункових документiв у СЕП використовуються додатковi засоби,

включаючи бухгалтерський контроль. Технологiчнi та криптографiчнi

засоби безпеки використовуються не тiльки в СЕП, а й у всiх

iнформацiйних задачах НБУ.


2.6. Для забезпечення контролю за виконанням вимог щодо

захисту iнформацiї у банкiвських установах, що є учасниками

iнформацiйно-обчислювальної мережi НБУ, служби захисту iнформацiї

регiональних управлiнь НБУ мають виконувати плановi (а в разi

потреби - i позаплановi) перевiрки всiх установ, що використовують

засоби захисту iнформацiї НБУ. Плановi перевiрки всiх банкiвських

установ мають виконуватися не менше нiж 1 раз на рiк.


За результатами перевiрки складається акт перевiрки (або

довiдка), у якому в разi виявлення недолiкiв мають бути

встановленi строки їх усунення.


2.7. Пiдставою для виконання позапланових перевiрок є

вiдкриття банкiвської установи або переведення її на будь-яку

модель роботи в СЕП за консолiдованим кореспондентським рахунком,

вказiвки пiдроздiлiв НБУ, змiна розмiщення банкiвської установи

тощо.


2.8. На вимогу служби захисту iнформацiї регiонального

управлiння НБУ та управлiння захисту iнформацiї НБУ всiм службовим

особам, вiдповiдальним за виконання захисту електронних

банкiвських документiв, слiд негайно надавати письмову або усну

iнформацiю про стан засобiв захисту iнформацiї та їх використання,

а також iнформацiю про стан захисту iнформацiї у програмному

забезпеченнi САБ (у тому числi системи "клiєнт-банк", а також

iнших систем, на якi поширюються вимоги НБУ щодо iнформацiйної

безпеки), технологiю оброблення електронних банкiвських документiв

у банкiвськiй установi i систему захисту iнформацiї при їх

обробленнi.


2.9. Забороняється передавати, навiть тимчасово, засоби

захисту iншим установам або особам, у тому числi й iншим установам

однiєї юридичної особи.


2.10. У додатку 1 дано узагальнений перелiк найбiльш

серйозних порушень в органiзацiї роботи з засобами захисту

iнформацiї НБУ.


3. Режимнi вимоги до примiщень


3.1. Банкiвськi установи, якi є учасниками

iнформацiйно-обчислювальної мережi НБУ та якi використовують

засоби захисту iнформацiї НБУ, повиннi видiлити примiщення, де

обробляються електроннi банкiвськi документи, працюють та

зберiгаються в неробочий час засоби захисту iнформацiї, для яких

обов'язковими є такi вимоги:


3.1.1. АРМ-НБУ розмiщується в будiвлi банкiвської установи в

спецiально видiленому для цього примiщеннi з обмеженим доступом,

дверi якого повиннi бути оснащенi кодовим або автоматичним замком

i мiсцем для опечатування.


У разi використання АРМ-НБУ для цiлодобової роботи примiщення

може не опечатуватись, але повинно мати систему обмеження доступу

до нього.


3.1.2. Вiкно (вiкна) в примiщеннi, де розташоване АРМ-НБУ,

повинно бути захищеним надiйними єратами, якщо воно:


є внутрiшнiм i виходить в iнше примiщення або коридор

банкiвської установи;


є зовнiшнiм i розташоване на першому чи останньому поверсi

банкiвської установи або до якого можна легко дiстатися з даху

сусiднього будинку, з розташованих поруч пожежних сходiв, дерев,

що близько ростуть, архiтектурних деталей будинку тощо.


Допускається не встановлювати металевi єрати на вiкнах у разi

застосування спецiального вiкна, мiцнiсть якого пiдтверджена

вiдповiдним сертифiкатом, узгодженим з Державною службою охорони

України.


3.1.3. Примiщення АРМ-НБУ повинно бути обладнане системою

сигналiзацiї з трьома рубежами захисту:


1-й рубiж - захист за периметром (дверi, вiкна);


2-й рубiж - захист вiд перемiщення примiщенням;


3-й рубiж - захист сейфа адмiнiстратора АРМ-НБУ.


Охорона банкiвських установ визначається Iнструкцiєю з

органiзацiї охорони установ банкiв України, затвердженою

постановою Правлiння НБУ та наказом Мiнiстерства внутрiшнiх справ

України вiд 25.12.98 N 548/963.


У разi виникнення надзвичайних ситуацiй (пожежа, стихiйне

лихо та iншi) банкiвська установа зобов'язана вжити всiх

необхiдних заходiв щодо запобiгання втратам та компрометацiї

засобiв захисту НБУ.


3.1.4. Усi питання, що пов'язанi з проведенням

пiдготовчо-органiзацiйних робiт, монтажем i прийманням

сигналiзацiї примiщення для АРМ-НБУ в експлуатацiю, вирiшуються

згiдно з чинним законодавством.


Пiсля завершення комплексу робiт, пов'язаних з установленням

сигналiзацiї, складається акт приймання сигналiзацiї в

експлуатацiю мiж вiдповiдним вiддiлом охорони УВСУ i банкiвською

установою.


Аналогiчний акт складається у тому разi, якщо в процесi

роботи банкiвської установи вiдбувається переведення АРМ-НБУ в

iнше примiщення.


3.1.5. Адмiнiстратор захисту iнформацiї має зберiгати:


довiдку за пiдписом керiвника банкiвської установи про стан

сигналiзацiї в примiщеннi АРМ-НБУ, складену в довiльнiй формi, в

якiй потрiбно вказати:


а) коли змонтована сигналiзацiя, яким пiдроздiлом охорони

УВСУ, номер i дату акта приймання сигналiзацiї;


б) яким чином органiзований вивiд сигналiзацiї примiщення

АРМ-НБУ;


в) можливостi здiйснення перевiрки системи сигналiзацiї;


картку запису несанкцiонованих спрацювань сигналiзацiї

примiщення АРМ-НБУ, в якiй зазначається час спрацювання, причини,

вжитi заходи.


У разi змiни схеми сигналiзацiї або примiщення АРМ-НБУ

довiдка поновлюється або до неї вносяться вiдповiднi корективи.


3.1.6. Адмiнiстратори АРМ-НБУ й адмiнiстратор захисту

iнформацiї зобов'язанi здiйснювати перiодичний контроль порядку

взяття примiщення пiд охорону i надiйного спрацювання

сигналiзацiї. Питання перевiрки ефективностi спрацювання

сигналiзацiї вирiшуються внутрiшнiм порядком, який повинен

установлюватися керiвником банкiвської установи.


3.1.7. Примiщення для АРМ-НБУ повинно мати сейфи (металевi

мiцнi шафи) для зберiгання засобiв захисту iнформацiї, документiв

до них у неробочий час та пiд час перерви.


3.1.8. Ключi вiд сейфiв i вхiдних дверей примiщення АРМ-НБУ

та печатки для опечатування повиннi бути облiкованi в роздiлах 5,

6 журналу облiку адмiнiстратора захисту iнформацiї (додатки 24,

25).


У разi втрати ключiв вiд вхiдних дверей примiщення АРМ-НБУ

необхiдно здiйснити замiну замка, провести службове розслiдування.

Матерiали розслiдування зберiгаються в справах адмiнiстратора

захисту iнформацiї банкiвської установи.


3.1.9. У робочий час ключi вiд вхiдних дверей примiщення

АРМ-НБУ i сейфiв адмiнiстратора АРМ-НБУ знаходиться в

адмiнiстратора АРМ-НБУ, який заступив на змiну.


У разi вiдсутностi в примiщеннi АРМ-НБУ адмiнiстратора

АРМ-НБУ, який заступив на змiну, це примiщення повинне бути

зачинене на ключ.


3.1.10. У неробочий час мiсцезнаходження ключiв вiд вхiдних

дверей примiщення АРМ-НБУ (з урахуванням кiлькостi їх примiрникiв)

визначається керiвництвом банкiвської установи, виходячи з вимог

iнформацiйної безпеки, протипожежної безпеки й iнших конкретних

умов.


Допускається зберiгання ключiв вiд сейфiв адмiнiстратора

АРМ-НБУ в опечатаному виглядi в примiщеннi АРМ-НБУ.


3.1.11. У разi передачi ключiв вiд вхiдних дверей примiщення

АРМ-НБУ на пост позавiдомчої охорони вони повиннi передаватися в

опечатаному за допомогою печатки адмiнiстратора АРМ-НБУ виглядi з

вiдповiдним записом у журналi та пiдписом адмiнiстратора АРМ-НБУ,

який здав змiну.


3.1.12. Примiщення має бути розташоване та обладнане так, щоб

уникнути безконтрольного поширення iнформацiї електронних

банкiвських документiв та засобiв захисту iнформацiї (акустично,

вiзуально, через електроннi прилади або електромагнiтнi

випромiнювання) за межi примiщення або банкiвської установи

(контрольованої територiї).


3.1.13. Спiвробiтники банкiвської установи, якi мають право

допуску в примiщення АРМ-НБУ, призначаються наказом по банкiвськiй

установi (додаток 2) i реєструються у роздiлi 4 журналу облiку

адмiнiстратора захисту iнформацiї (додаток 23).


3.1.14. Право допуску в примiщення АРМ-НБУ мають:


керiвник банкiвської установи (особа, яка виконує його

обов'язки);


заступник керiвника банкiвської установи, який призначений

вiдповiдальним за органiзацiю захисту електронної банкiвської

iнформацiї;


адмiнiстратори АРМ-НБУ;


адмiнiстратори захисту iнформацiї;


iншi спiвробiтники банкiвської установи, якi постiйно

вирiшують питання обслуговування примiщення i АРМ-НБУ (програмiст,

прибиральниця тощо).


3.1.15. Спiвробiтники внутрiшньобанкiвської служби захисту

iнформацiї (якщо вони не призначенi наказом по банкiвськiй

установi як вiдповiдальнi за засоби криптозахисту) мають право

обмеженого доступу до примiщення АРМ-НБУ i лише для вирiшення

питань, що належать до їх компетенцiї. При цьому права допуску до

роботи iз засобами криптозахисту вони не мають.


3.1.16. Усi спiвробiтники банкiвської установи, якi мають

право допуску до примiщення АРМ-НБУ, зобов'язанi перебувати в

примiщеннi АРМ-НБУ тiльки на час виконання своїх обов'язкiв, що

пов'язанi з роботою АРМ-НБУ, i тiльки в присутностi адмiнiстратора

АРМ-НБУ, який заступив на змiну.


3.1.17. Спiвробiтники банкiвської установи для вирiшення

разових питань допускаються до примiщення АРМ-НБУ на пiдставi

усного розпорядження керiвника банкiвської установи (або особи,

яка виконує його обов'язки) лише в присутностi адмiнiстратора

захисту iнформацiї або адмiнiстратора АРМ-НБУ i в журнал облiку

адмiнiстратора захисту iнформацiї не вписуються.


3.1.18. Пiсля ремонту примiщення або проведення iнших

ремонтних робiт рекомендується обстежити примiщення та обладнання

з метою вилучення пристроїв викрадення iнформацiї.


3.1.19. Для обмеження доступу до електронної iнформацiї банку

рекомендується розмiщати сервер локальної мережi банку, вузол

електронної пошти, АРМ бухгалтера САБ, АРМ-НБУ в окремих

iзольованих примiщеннях.


У разi неможливостi розмiщення в iзольованих примiщеннях

сервер локальної мережi банку та вузол електронної пошти

дозволяється розмiстити в одному примiщеннi. Не допускається

розмiщати в одному примiщеннi АРМ НБУ та АРМ бухгалтера САБ.


3.2. Перед отриманням засобiв криптозахисту та пiдключенням

до iнформацiйно-обчислювальної мережi НБУ установа подає до

регiонального управлiння НБУ заяву на проведення перевiрки

виконання режимних умов до примiщень.


3.3. Усi банкiвськi установи з питань захисту iнформацiї

обслуговуються службою захисту регiонального управлiння НБУ за

мiсцем розташування банкiвської установи, незалежно вiд моделi

обслуговування кореспондентського рахунку.


Банкiвськi установи м. Києва та Київської областi

обслуговуються вiддiлом захисту iнформацiї Центральної

розрахункової палати НБУ.


3.4. Банкiвська установа повинна повiдомляти службу захисту

iнформацiї регiонального управлiння НБУ, в якому вона отримала

засоби захисту iнформацiї, про змiну мiсцезнаходження установи та

змiну розмiщення робочих мiсць, на яких використовуються засоби

захисту iнформацiї, протягом трьох робочих днiв.


Служба захисту iнформацiї регiонального управлiння НБУ

протягом трьох робочих днiв повинна органiзувати перевiрку

виконання режимних умов до примiщень зi складанням вiдповiдного

акта.


3.5. Робоче мiсце адмiнiстратора захисту iнформацiї повинно

мiстити сейф адмiнiстратора захисту iнформацiї, призначений для

зберiгання програмного модуля генерацiї ключiв, справ i журналу

облiку адмiнiстратора захисту iнформацiї, таємних ключiв

операторiв робочих мiсць САБ тощо.


Вимоги щодо обладнання сейфiв сигналiзацiєю не висуваються,

але примiщення з цим робочим мiсцем повинно мати охоронну

сигналiзацiю та опечатуватись у неробочий час.


3.5.1. Робоче мiсце адмiнiстратора захисту iнформацiї може

бути розмiщено в будь-якому примiщеннi банкiвської установи за

винятком кiмнати АРМ-НБУ, АРМ бухгалтера i тих примiщень, куди

(виходячи з режимних мiркувань) доступ адмiнiстратора АРМ-НБУ, АРМ

бухгалтера i операцiонiстiв заборонений.


3.5.2. Адмiнiстратор захисту iнформацiї повинен мати робоче

мiсце, обладнане ПЕОМ, що не пiдключена до локальної мережi банку

пiд час копiювання ПМГК i генерування ключiв.


3.6. Iншi робочi мiсця САБ рекомендується розмiщувати в

примiщеннях з обмеженим доступом. Таке примiщення повинне мати

сейф оператора робочого мiсця для зберiгання таємного ключа.


Вимоги щодо обладнання сейфiв сигналiзацiєю не висуваються.


3.7. У примiщеннi АРМ-НБУ, якщо немає iншої можливостi,

дозволяється додатково розмiщувати:


робоче мiсце адмiнiстратора електронної пошти;


робоче мiсце адмiнiстратора локальної мережi.


При цьому слiд виконувати такi вимоги:


адмiнiстратор електронної пошти (адмiнiстратор локальної

мережi) повинен бути адмiнiстратором АРМ-НБУ;


кiлькiсть адмiнiстраторiв АРМ-НБУ не може необєрунтовано

завищуватись.


3.8. АРМ бухгалтера електронних платежiв може бути

розташоване в будь-якому примiщеннi банкiвської установи з

обмеженим доступом, за винятком кiмнати АРМ-НБУ та примiщення

адмiнiстратора захисту iнформацiї.


3.9. У разi недостатньої кiлькостi ПЕОМ у банкiвськiй

установi допускається органiзацiя єдиного програмно-технiчного

комплексу для роботи всiх або частини операторiв САБ у порядку

черговостi з суворим розподiлом доступу до програмного

забезпечення робочих мiсць.


3.10. Вимоги до сейфiв


3.10.1. Сейфи повиннi бути обладнанi замками i мiсцем для

опечатування.


Якщо сейф обладнаний кодовим замком, то рекомендується також

здiйснювати опечатування замка, оскiльки це дає змогу виявляти
  1   2   3   4   5   6

Схожі:

Про затвердження Правил органiзацiї захисту iconПро основні заходи цивільного захисту на 2011 рік
«Про затвердження плану основних заходів цивільного захисту на 2011 рік» та актів Міністерства освіти і науки, молоді та спорту України...
Про затвердження Правил органiзацiї захисту iconНаказ №272 Зареєстровано в Міністерстві юстиції України 1 лютого 2002 р за №95/6383 Про затвердження Правил охорони життя людей на водних об'єктах України
Міністерство україни з питань надзвичайних ситуацій та у справах захисту населення від наслідків чорнобильської катастрофи
Про затвердження Правил органiзацiї захисту iconНаказ №702-д від 20. 09. 2012 р. Про сервіс електронного листування зі студентами, та дотримання закону України «Про захист персональних даних»
Кабінету Міністрів України від 29 березня 2006 року №373 «Про затвердження Правил забезпечення захисту інформації в інформаційних,...
Про затвердження Правил органiзацiї захисту iconПоложення про функціональну підсистему «Освіта І наука України» єдиної державної системи запобігання І реагування на надзвичайні ситуації техногенного та природного характеру» (наказ мон від з. 09. 2009 року №814)
«Про затвердження плану основних заходів цивільного захисту на 2012 рік» та актів Міністерства освіти і науки, молоді та спорту України...
Про затвердження Правил органiзацiї захисту iconПравління національного банку україни постанов а
Про затвердження Правил надання банками на письмову вимогу керівників відповідних спеціальних підрозділів по боротьбі з організованою...
Про затвердження Правил органiзацiї захисту iconПро затвердження Правил складання І подання заявки на винахід та заявки на корисну модель ( Із змінами, внесеними згідно з Наказами Міністерства освіти І науки n 154 ( z0332-04 ) від 26.
move to 1143-14390
Про затвердження Правил органiзацiї захисту iconПро затвердження Правил складання І подання заявки на винахід та заявки на корисну модель ( Із змінами, внесеними згідно з Наказами Міністерства освіти І науки n 154 ( z0332-04 ) від 26.
move to 1143-14390
Про затвердження Правил органiзацiї захисту iconПро затвердження Положення про дистанційне навчання
На виконання постанови Кабінету Міністрів України від 23 вересня 2003 року n 1494 ( 1494-2003-п ) Про затвердження
Про затвердження Правил органiзацiї захисту iconПро затвердження Правил видачі свідоцтв члена льотного екіпажу, бортпровідника та співробітника із забезпечення польотів
Правових актів, що регулють діяльність цивільної авіації України у відповідність до законодавства Європейського Союзу та на виконання...
Про затвердження Правил органiзацiї захисту iconНаказ № Про затвердження змін до Правил прийому до двнз «Криворізький національний університет» у 2013 році
України «Про закордонних українців» та з метою упорядкування механізму конкурсного відбору на навчання на основі здобутих освітніх...
Додайте кнопку на своєму сайті:
Документи


База даних захищена авторським правом ©zavantag.com 2000-2013
При копіюванні матеріалу обов'язкове зазначення активного посилання відкритою для індексації.
звернутися до адміністрації
Документи