Неофициальный перевод. (с) СоюзПравоИнформ

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА УКРАИНЫ

от 26 ноября 2015 года №829

Об утверждении нормативно-правовых актов по вопросам информационной безопасности

Согласно статьям 7, 56 Закона Украины "О Национальном банке Украины", с целью урегулирования взаимоотношений между Национальным банком Украины и банками Украины, их филиалами, государственными, небанковскими учреждениями, которые используют средства защиты информации Национального банка Украины, в связи с нормированием централизованного порядка заключения и ведения договоров по обеспечению средствами защиты информации Национального банка Украины Правление Национального банка Украины постановляет:

1. Утвердить:

1) Положение о защите электронных банковских документов с использованием средств защиты информации Национального банка Украины, которое прилагается;

2) Правила организации защиты электронных банковских документов с использованием средств защиты информации Национального банка Украины, которые прилагаются;

3) Положение о порядке проверки состояния информационной безопасности в банковских и других учреждениях, которые используют средства защиты информации Национального банка Украины, которое прилагается.

2. Признать утратившими силу:

постановление Правления Национального банка Украины от 02 апреля 2007 года №112 "Об утверждении Правил организации защиты электронных банковских документов с использованием средств защиты информации Национального банка Украины", зарегистрированное в Министерстве юстиции Украины 24 апреля 2007 года под №419/13686;

подпункт 2 пункта 1 постановления Правления Национального банка Украины от 7 июля 2015 года №439 "О внесении изменений в некоторые нормативно-правовые акты Национального банка Украины".

3. Департаменту информационной безопасности (Лукьянов Д.А.) довести содержание настоящего постановления до сведения Центральной расчетной палаты Национального банка Украины, банков Украины, их филиалов, органов Государственной казначейской службы Украины, других органов государственной власти, небанковских учреждений, использующих средства защиты информации Национального банка Украины, для использования в работе.

4. Контроль за выполнением настоящего постановления возложить на заместителя Председателя Национального банка Украины Смолия Я.В.

5. Постановление вступает в силу со дня, следующего за днем его официального опубликования.

Утверждено Постановлением Правления Национального банка Украины от 26 ноября 2015 года №829

Положение о защите электронных банковских документов с использованием средств защиты информации Национального банка Украины

I. Общие положения

1. Настоящее Положение разработано в соответствии со статьями 7, 56 Закона Украины "О Национальном банке Украины", статьей 66 Закона Украины "О банках и банковской деятельности", Законами Украины "О платежных системах и переводе средств в Украине", "О защите информации в информационно-телекоммуникационных системах" и нормативно-правовыми актами Национального банка Украины в сфере информационной безопасности.

2. В тексте Положения термины и сокращения употребляются в таком значении:

1) администратор информационной безопасности - специалист по вопросам информационной безопасности, назначенный внутренним документом организации для обеспечения внедрения и поддержки работы средств защиты информации Национального банка Украины в этой организации;

2) АКЗИ - аппаратура криптографической защиты информации, которая является собственностью Национального банка Украины;

3) АРМ бухгалтера САБ - автоматизированное рабочее место системы автоматизации банка, на котором осуществляется формирование файлов/онлайновых пакетов, содержащих начальные платежи системы электронных платежей Национального банка Украины;

4) АРМ-НБУ-инф - программное обеспечение "Автоматизированное рабочее место обмена неплатежной информации" Национального банка Украины, предназначенное для обмена информацией между системой автоматизации банка и информационными задачами;

5) ОК - открытый ключ;

6) ЭЦП - электронная цифровая подпись;

7) СЗИ - средства защиты информации Национального банка Украины, которые используются в системе электронных платежей Национального банка Украины и информационных задачах;

8) информационные задачи - программно-технические комплексы автоматизации банковской деятельности, обеспечивающие обработку и передачу информации, не относящейся к платежной и технологической информации системы электронных платежей Национального банка Украины, с использованием средств защиты информации Национального банка Украины между банковскими и другими учреждениями и Национальным банком Украины;

9) криптобиблиотеки - библиотеки криптографических функций - наложение и проверка электронной цифровой подписи, шифрование и дешифрование информации;

10) организация - банковское или другое учреждение, которое является непосредственным участником системы электронных платежей Национального банка Украины и/или информационных задач и использует средства защиты информации Национального банка Украины;

11) организация-заказчик - банковское или другое учреждение, которое заключает договор об использовании средств защиты информации Национального банка Украины с Национальным банком Украины, в том числе за свои филиалы;

12) ПМГК - программный модуль генерации ключей, который является собственностью Национального банка Украины;

13) САБ - система автоматизации банка;

14) система защиты информации - совокупность методов и средств, включая аппаратно-программные, программные средства защиты информации Национального банка Украины, ключевую информацию и систему распределения ключевой информации, технологические средства контроля и организационные мероприятия, обеспечивающие защиту электронных банковских документов;

15) СЭП - система электронных платежей Национального банка Украины;

16) СК - смарт-карта;

17) строгая аутентификация - идентификация каждого пользователя по признаку владения своим секретным ключом;

18) ТОК - таблица открытых ключей;

19) ТК - тайный ключ.

Другие термины и сокращения, используемые в настоящем Положении, используются в значениях, определенных Законом Украины "Об электронных документах и электронном документообороте", стандартах по управлению информационной безопасностью в банковской системе Украины, утвержденных постановлением Правления Национального банка Украины от 28 октября 2010 года №474, Инструкцией о межбанковском переводе средств в Украине в национальной валюте, утвержденной постановлением Правления Национального банка Украины от 16 августа 2006 года №320, зарегистрированным в Министерстве юстиции Украины 6 сентября 2006 года под №1035/12909 (с изменениями).

3. Настоящее Положение определяет принципы построения системы защиты информации и порядок получения и возврата СЗИ организациями.

4. Непосредственные участники СЭП получают СЗИ для использования в СЭП и информационных задачах независимо от модели обслуживания консолидированного корреспондентского счета банка в СЭП. Косвенные участники СЭП и организации, не являющиеся участниками СЭП, получают СЗИ для использования в информационных задачах Национального банка Украины (далее - Национальный банк).

Организации взаимодействуют по всем текущим вопросам работы с СЗИ с Департаментом информационной безопасности Национального банка Украины (далее Департамент информационной безопасности) и получают СЗИ в территориальных управлениях Национального банка Украины (далее - территориальные управления) по месту их расположения. Организации города Киева и Киевской области получают СЗИ в Департаменте информационной безопасности.

5. Организации, использующие СЗИ, обязаны выполнять организационные меры информационной безопасности по использованию, хранению, учету СЗИ согласно Правилам организации защиты электронных банковских документов с использованием средств защиты информации Национального банка Украины, утвержденным постановлением Правления Национального банка от 26 ноября 2015 года №829 (далее - Правила).

6. Департамент информационной безопасности осуществляет проверку соблюдения требований Правил в организациях в соответствии с Положением о порядке проверки состояния информационной безопасности в банковских и других учреждениях, которые используют средства защиты информации Национального банка Украины, утвержденным постановлением Правления Национального банка от 26 ноября 2015 года №829 (далее - Положение о порядке проверки).