Про внесення змін до деяких нормативно-правових актів Національного банку України
Відповідно до статей 7, 40, 56 Закону України "Про Національний банк України", постанови Правління Національного банку України від 18 вересня 2014 року № 585 "Про переведення банків - учасників СЕП на обслуговування за кореспондентським рахунком до Головного управління Національного банку України по м. Києву і Київській області" Правління Національного банку України ПОСТАНОВЛЯЄ:
1) Зміни до Інструкції про міжбанківський переказ коштів в Україні в національній валюті, затвердженої постановою Правління Національного банку України від 16 серпня 2006 року № 320, зареєстрованої в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909 (зі змінами), що додаються;
2) Зміни до Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затверджених постановою Правління Національного банку України від 02 квітня 2007 року № 112, зареєстрованих у Міністерстві юстиції України 24 квітня 2007 року за № 419/13686, що додаються.
2. Постанову Правління Національного банку України від 16 серпня 2006 року № 320 "Про затвердження Інструкції про міжбанківський переказ коштів в Україні в національній валюті", зареєстровану в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909, після пункту 1 доповнити новим пунктом 2 такого змісту:
"2. У Національному банку України відкриття та ведення кореспондентських рахунків банків-резидентів та філій іноземних банків у національній валюті України здійснює Головне управління Національного банку України по м. Києву і Київській області".
У зв'язку з цим пункти 2 - 5 уважати відповідно пунктами 3 - 6.
3. Департаменту інформаційної безпеки (Лук'янов Д.О.):
1) розробити та затвердити до 01 жовтня 2015 року графік та порядок розірвання договорів банків України, їх філій та небанківських установ (далі - організації) з територіальними управліннями і Центральною розрахунковою палатою Національного банку України про використання криптографічних засобів захисту інформації в системі електронних платежів Національного банку України та інформаційних задачах Національного банку України (далі - Договори) та з укладання зазначених Договорів організацій з Департаментом інформаційної безпеки;
2) розробити та впровадити до 01 січня 2016 року комплекс заходів щодо забезпечення організацій засобами криптографічного захисту інформації Національного банку України;
3) переукласти Договори до 01 січня 2016 року.
4. Територіальним управлінням, Центральній розрахунковій палаті Національного банку України (Годік М.М.) забезпечити виконання Договорів до моменту переукладання Договорів та передачі функцій з їх реалізації Департаментом інформаційної безпеки.
5. Департаменту інформаційної безпеки (Лук'янов Д.О.) довести зміст цієї постанови до відома Центральної розрахункової палати Національного банку України, банків України, їх філій, органів Державної казначейської служби України, інших органів державної влади, небанківських установ, які використовують засоби захисту інформації Національного банку України, для застосування в роботі.
6. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Смолія Я.В.
7. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
ЗМІНИ
до Інструкції про міжбанківський переказ коштів в Україні в національній валюті
1. У пункті 1 глави 1 розділу I:
в абзаці другому слово "(філій)" виключити;
в абзаці шістнадцятому слова "філій (або певної кількості філій) у разі роботи банку (філії)" замінити словами "філій для роботи банку";
в абзаці двадцять дев'ятому слово "(філій)" виключити;
абзац тридцять третій викласти в такій редакції:
"система захисту електронних банківських документів - сукупність методів та засобів, що включає апаратно-програмні, програмні засоби захисту, ключову інформацію та систему розподілу ключової інформації, технологічні засоби контролю та організаційні заходи щодо захисту інформації";
в абзаці тридцять шостому слова "Операційне управління" замінити словами "Операційний департамент".
2. У розділі II:
1) у главі 1:
пункт 1 викласти в такій редакції:
"1. Територіальне управління відкриває кореспондентський рахунок банку на підставі укладеного договору про кореспондентський рахунок у Національному банку України (додаток 1) та за умови подання правильно оформлених документів, зазначених у пункті 2 цієї глави";
в абзаці першому пункту 2 слова "за місцезнаходженням банку" виключити;
пункт 3 виключити.
У зв'язку з цим пункти 4 - 10 уважати відповідно пунктами 3 - 9;
у пункті 3 слово "(філії)" виключити;
У зв'язку з цим пункти 5 - 9 уважати відповідно пунктами 4 - 8;
У зв'язку з цим пункти 6 - 8 уважати відповідно пунктами 5 - 7;
у підпунктах "а" - "г", "д" слово "(філія)" у всіх відмінках виключити;
у підпункті "ґ" слова "(філії), що має містити код за ЄДРПОУ" виключити;
у пункті 6 слова "а також у зв'язку з взаємним обміном банком та його філією місцезнаходження та пов'язаною з цим зміною обслуговуючих їх територіальних управлінь банк (філія)" замінити словом "банк";
у пункті 7 слово "(філії)" виключити;
2) у главі 2:
у назві глави та пункті 1 слово "(філії)" виключити;
у пункті 3:
у першому реченні слова "не пізніше наступного робочого дня з дня закриття кореспондентського рахунку, уключаючи день закриття, зобов'язане" замінити словами "у день закриття кореспондентського рахунку зобов'язане";
у третьому реченні слово "(філії)" виключити;
у пункті 4 слово "(філії)" виключити;
3) у главі 4:
підпункт "б" пункту 1 викласти в такій редакції:
"б) укладення з Національним банком договорів:
про розрахунково-інформаційне обслуговування в системі електронних платежів Національного банку України та надання послуг системою електронної пошти Національного банку України (додаток 5);
про використання засобів захисту інформації в системі електронних платежів Національного банку України відповідно до нормативно-правового акта Національного банку щодо організації захисту електронних банківських документів";
в абзаці першому пункту 5 слова "за своїм місцезнаходженням" замінити словами "за місцем відкриття кореспондентського рахунку банку";
пункт 6 викласти в такій редакції:
"6. Територіальне управління за місцем відкриття кореспондентського рахунку банку після отримання повідомлення від банку (філії) зобов'язане надіслати його до ЦРП засобами системи ЕП за два робочих дні до набрання чинності змінами.
Територіальне управління за місцем відкриття кореспондентського рахунку банку інформує засобами системи ЕП регіональний підрозділ Департаменту інформаційної безпеки Національного банку за місцезнаходженням банку (філії) про ініціювання банком (філією) внесення інформації до Довідника учасників СЕП";
у пункті 7:
слова "отриманими від територіальних управлінь повідомленнями" замінити словами "отриманим від територіального управління за місцем відкриття кореспондентського рахунку банку повідомленням";
доповнити пункт новим абзацом такого змісту:
"ЦРП вносить інформацію до Довідника учасників СЕП щодо включення нового учасникам СЕП (безпосереднього) або зміни ідентифікатора учасника СЕП (безпосереднього) за умови, що цей учасник надіслав відкриті ключі АРМ-СЕП на сертифікацію до 13 години дня, що передує дню внесення інформації до Довідника учасників СЕП";
у першому реченні слова "(філії)" та "АРМ-СЕП відповідного" виключити;
у другому реченні слова "учасник СЕП" замінити словом "банк";
у третьому реченні пункту 10 слова "за місцезнаходженням банку (філії)" замінити словами "за місцем відкриття кореспондентського рахунку банку";
у пункті 11:
у першому реченні слова "(філії), що має кореспондентський рахунок" виключити;
у другому реченні слово "(філія)" виключити;
абзац другий викласти в такій редакції:
"Якщо банк не виконав цю вимогу, то ЦРП наприкінці останнього робочого дня банку в СЕП після виконання вимог пункту 10 цієї глави має повідомити про це територіальне управління. Територіальне управління, отримавши повідомлення ЦРП, зобов'язане здійснити списання засобами СЕП суми коштів банку, що дорівнює залишку на його технічному рахунку, і перерахувати її на рахунок, визначений згідно з пунктом 2 глави 2 цього розділу";
4) у главі 5:
у пункті 3 слово "(філії)" виключити;
у пункті 5 слова "розділу X цієї Інструкції" замінити словами "нормативно-правового акта Національного банку щодо організації захисту електронних банківських документів";
5) у главі 6:
у першому реченні пункту 1 слова "територіальних управлінь" замінити словами "територіального управління";
у пункті 8 слово "відповідного" виключити;
6) у пункті 2 глави 7 слово "(філії)" виключити;
7) у главі 8:
в абзаці першому слова "за його місцезнаходженням" виключити;
в абзаці другому слова "кореспондентських рахунків у територіальних управліннях і" виключити;
в абзаці першому пункту 3:
у першому реченні слова "за його місцезнаходженням" виключити;
у другому реченні слова "не можуть мати кореспондентських рахунків у територіальних управліннях, але" виключити;
в абзаці першому пункту 4:
у першому реченні слова "за його місцезнаходженням" виключити;
у другому реченні слова "не можуть мати кореспондентських рахунків у територіальних управліннях, але" виключити;
в абзаці першому пункту 5:
у першому реченні слова "за його місцезнаходженням" виключити;
у другому реченні слова "не можуть мати кореспондентських рахунків у територіальних управліннях, але" виключити;
пункт 6 виключити;
8) у главі 9:
пункт 5 виключити.
У зв'язку з цим пункти 6 - 17 уважати відповідно пунктами 5 - 16;
в абзаці першому цифру "5" замінити цифрою "4";
в абзаці другому слова "за місцезнаходженням банку" замінити словами "за місцем відкриття кореспондентського рахунку банку";
у пункті 6 цифру "6" замінити цифрою "5";
перше речення абзацу першого пункту 7 викласти в такій редакції:
"7. Банк узгоджує з територіальним управлінням за місцем відкриття кореспондентського рахунку банку дату переходу на роботу в СЕП за відповідної моделлю, про що територіальне управління робить відмітку в дозволі";
абзац третій викласти в такій редакції:
"повідомляє філії про потребу протягом трьох робочих днів укласти/розірвати або (за потреби) внести зміни до договорів про розрахунково-інформаційне обслуговування в системі електронних платежів Національного банку України та надання послуг системою електронної пошти Національного банку України, а також про використання засобів захисту інформації в системі електронних платежів Національного банку України";
доповнити пункт новим абзацом такого змісту:
"Банк та його філії мають ініціювати внесення відповідної інформації до Довідника учасників СЕП";
У зв'язку з цим пункти 10 - 16 уважати відповідно пунктами 9 - 15;
у пунктах 10 і 11 цифру "5" замінити цифрою "4";
У зв'язку з цим пункти 14, 15 уважати відповідно пунктами 12, 13;
абзац перший викласти в такій редакції:
"13. У разі закриття банком усіх філій дозвіл на роботу в СЕП за відповідною моделлю втрачає чинність";
в абзаці другому слова "надіслати до територіального управління за своїм місцезнаходженням повідомлення про внесення змін" замінити словами "ініціювати внесення відповідної інформації";
9) у главі 10:
пункт 1 викласти в такій редакції:
"1. Національний банк може бути ініціатором переведення банку на обслуговування за кореспондентським рахунком до іншого територіального управління (далі - переведення) відповідно до постанови Правління Національного банку про зміну територіального управління, що обслуговує банк";
у пункті 2 слова "Ініціатор переведення узгоджує дату переведення з Національним банком або банком" замінити словами "Національний банк узгоджує дату переведення з банком";
у пункті 3:
абзац другий викласти в такій редакції:
"до територіального управління 1 - заяву про закриття кореспондентського рахунку в Національному банку";
друге речення абзацу третього виключити;
в абзаці третьому підпункту "б" слова "(у разі переведення за ініціативою Національного банку)" виключити;
підпункт "в" доповнити новим абзацом такого змісту:
"укладає договір з банком про кореспондентський рахунок у Національному банку України";
підпункт "г" виключити.
3. В абзаці першому пункту 5 глави 3 розділу IV слова "територіальних управліннях із застосуванням" замінити словами "територіальному управлінні, із застосуванням".
4. У розділі VI:
1) у назві розділу слово "(філії)" виключити;
2) у главі 1:
у назві глави слово "(філії)" виключити;
у пункті 1 слова "філії (далі - банк)" виключити;
3) у главі 2:
у назві глави слово "(філії)" виключити;
у пункті 1 слова "філії (далі - банк)" виключити;
пункт 9 після підпункту "б" доповнити новим підпунктом "в" такого змісту:
"в) повідомляє ЦРП засобами системи ЕП про скасування зупинення власних видаткових операцій банку в СЕП".
У зв'язку з цим підпункт "в" уважати підпунктом "г";
4) у главі 3:
у назві глави слово "(філії)" виключити;
у пункті 1:
в абзацах першому - третьому слово "(філія)" у всіх відмінках виключити;
абзац п'ятий виключити;
пункт 2 викласти в такій редакції:
"2. Відновлення власних видаткових операцій банку за його кореспондентським рахунком здійснюється відповідно до законодавства України і забезпечується ЦРП на підставі повідомлення територіального управління про скасування зупинення власних видаткових операцій банку в СЕП";
5) у главі 4:
у назві глави слово "(філії)" виключити;
в абзаці першому пункту 1:
слова "філії (далі - банк)" виключити;
слова "про регулювання" замінити словами "з питань надання кредитів для підтримки";
у пункті 4:
абзац четвертий замінити двома новими абзацами четвертим та п'ятим такого змісту:
"Ліміт установлюється в режимі реального часу (пакет-запит) або у файловому режимі (файл L).
Територіальне управління здійснює списання після отримання від ЦОСЕП інформації про встановлення ліміту технічного рахунку банку".
У зв'язку з цим абзаци п'ятий - чотирнадцятий уважати відповідно абзацами шостим - п'ятнадцятим;
в абзацах дев'ятому та дванадцятому слова "на визначену суму списання" замінити словами "на фактично списану суму";
абзаци тринадцятий - п'ятнадцятий виключити.
5. У главі 2 розділу VII:
в абзаці першому пункту 2 слова "за місцезнаходженням філії іноземного банку" виключити;
перше речення пункту 5 викласти в такій редакції:
"5. Філія іноземного банку в разі зміни свого найменування зобов'язана подати до територіального управління такі самі документи, що і під час відкриття рахунку, а також унести зміни до договору про кореспондентський рахунок у Національному банку України або укласти новий договір";
у пункті 6 слово та цифру "пунктом 8" замінити словом та цифрою "пунктом 5";
у пункті 9:
слово та цифру "пункту 1" виключити;
слово та цифри "розділів IX, X" замінити словом та цифрою "розділу IX".
6. У главі 1 розділу VIII:
пункт 1 викласти в такій редакції:
"1. Для роботи в СЕП інші установи укладають з Національним банком договори:
про розрахунково-інформаційне обслуговування в системі електронних платежів Національного банку України та надання послуг системою електронної пошти Національного банку України, зразок якого наведений у додатку 5 до цієї Інструкції. Сторони можуть змінювати передбачені цим зразком договору умови, а також установлювати інші умови, якщо це не суперечить законодавству;
про використання засобів захисту інформації в системі електронних платежів Національного банку України відповідно до нормативно-правового акта Національного банку щодо організації захисту електронних банківських документів";
у пункті 2 слово та цифру "та X" виключити.
7. У розділі IX:
1) у пунктах 1, 4, 5 глави 1 та в пункті 4 глави 2 слова "Управління інформаційної безпеки" в усіх відмінках замінити словами "Департамент інформаційної безпеки" у відповідних відмінках;
2) в абзаці першому пункту 2 глави 3 слова "програмно-апаратні засоби криптографічного захисту інформації" замінити словами "апаратно-програмні засоби захисту інформації";
3) у главі 6:
у пункті 1 слова "апаратних засобів криптографічного захисту інформації СЕП" замінити словами "апаратно-програмних засобів захисту інформації";
у першому реченні пункту 2 та першому реченні пункту 3 слово "апаратних" замінити словом "апаратно-програмних";
у першому реченні пункту 4 слова "апаратними засобами криптографічного захисту" замінити словами "апаратно-програмними засобами захисту інформації";
4) у главі 7:
пункт 1 виключити.
У зв'язку з цим пункти 2 - 6 уважати відповідно пунктами 1 - 5;
у пункті 1 слова "і вжити заходів для створення резервних копій службових файлів ключової інформації АРМ-СЕП, файлів конфігурації та допоміжних файлів" замінити словами "з актуальними таблицями відкритих ключів, файлами конфігурації та допоміжними файлами";
в абзаці третьому пункту 2 слова "Управління інформаційної безпеки" замінити словами "регіональний підрозділ Департаменту інформаційної безпеки Національного банку за своїм місцезнаходженням".
8. Розділ X виключити.
1) у додатку 1:
у преамбулі слова "(найменування філії, якщо договір укладає філія)" виключити;
абзаци п'ятий - сьомий пункту 2.1 замінити одним новим абзацом такого змісту:
"здійснювати договірне списання коштів з кореспондентського рахунку Замовника в разі ненадходження від Замовника (або його філії) оплати за виконані Виконавцем роботи та надані послуги в сумі та в строк, що обумовлені в цьому договорі та/або договорах1 про розрахунково-інформаційне обслуговування в системі електронних платежів Національного банку України та надання послуг системою електронної пошти Національного банку України від ________ № ___; про використання засобів захисту інформації в системі електронних платежів Національного банку України від ________ № ________.
__________
1 Якщо договори укладаються неодночасно або Замовник працює за відповідною моделлю обслуговування консолідованого кореспондентського рахунку, то з метою зазначення реквізитів договорів, за якими має здійснюватися договірне списання коштів, потрібно укласти додаткові договори";
абзаци восьмий - десятий пункту 2.4 викласти в такій редакції:
"нести відповідальність перед Виконавцем за зобов'язаннями філій згідно з умовами договорів щодо:
розрахунково-інформаційного обслуговування в системі електронних платежів Національного банку України та надання послуг системою електронної пошти Національного банку України;
використання засобів захисту інформації в системі електронних платежів Національного банку України";
2) у додатку 2 слова "банку/філії" замінити словом "банку";
3) у додатку 3:
слова "банку/філії" замінити словом "банку";
у виносці 1 цифру "8" замінити цифрою "5";
4) у додатку 4:
слова "банку/філії" замінити словом "банку";
5) у додатку 5:
в абзаці шостому пункту 2.1 слово "(філії)" виключити;
абзац дев'ятнадцятий пункту 2.4 викласти в такій редакції:
"у разі ліквідації банку забезпечувати його повноцінну роботу згідно з діючою технологією до часу закриття кореспондентського рахунку";
у пункті 3.3 слово "(філії)" виключити;
6) додаток 6 виключити;
У зв'язку з цим додатки 7 - 10 уважати відповідно додатками 6 - 9.
У тексті Інструкції посилання на додатки 7 - 10 замінити посиланнями відповідно на додатки 6 - 9;
7) додаток 6 викласти в такій редакції:
" | Додаток 6 |
________________________________ | ___________________________________ |
Повідомлення
про внесення інформації до Довідника учасників СЕП
(зразок)
Згідно з _____________________ включити/виключити/унести зміни до списку учасників СЕП.
Назва учасника СЕП | Код банку - учасника СЕП | Код валюти | Ідентифікатор у СЕП | Адреса в системі ЕП | Код банку - юридичної особи | № моделі | Код банку - власника кореспондентського рахунку | Режим реального часу | Дата внесення змін | |
початкові платежі | відповідні платежі | |||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |
|
|
|
|
|
|
|
|
|
|
|
Керівник банку (філії) | _____________________________ | |
Виконавець | _____________________________ |
|
№ телефону | _____________________________ |
|
__________ |
|
ЗМІНИ
до Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України
1. У главі 1:
1) у пункті 1.2:
абзац п'ятий виключити.
У зв'язку з цим абзаци шостий - дев'ятнадцятий уважати відповідно абзацами п'ятим - вісімнадцятим;
абзац одинадцятий викласти в такій редакції:
"інформаційні задачі - програмно-технічні комплекси автоматизації банківської діяльності, які забезпечують оброблення та передавання інформації, що не належить до платіжної та технологічної інформації СЕП, з використанням засобів захисту інформації Національного банку між банками України, їх філіями, Національним банком, органами державної влади і небанківськими організаціями";
абзац шістнадцятий доповнити словами "Національного банку";
доповнити пункт новими термінами такого змісту (з урахуванням алфавітного порядку):
"регіональний підрозділ Департаменту інформаційної безпеки - структурний підрозділ Департаменту інформаційної безпеки, працівники якого мають робочі місця в територіальних управліннях Національного банку за місцем розташування організації;
система захисту інформації Національного банку (далі - система захисту) - сукупність методів і засобів, що включає апаратно-програмні, програмні засоби захисту, ключову інформацію та систему розподілу ключової інформації, технологічні засоби контролю та організаційні заходи;
сувора автентифікація - ідентифікація кожного користувача за ознакою володіння своїм секретним ключем";
доповнити пункт новим абзацом такого змісту:
"Інші терміни та скорочення, що вживаються в цих Правилах, використовуються в значеннях, визначених Інструкцією про міжбанківський переказ коштів в Україні в національній валюті, затвердженою постановою Правління Національного банку України від 16 серпня 2006 року № 320, зареєстрованою в Міністерстві юстиції України 06 вересня 2006 року за № 1035/12909 (зі змінами)";
2) пункти 1.4, 1.5 викласти в такій редакції:
"1.4. Організації отримують засоби захисту для використання в СЕП незалежно від моделі обслуговування консолідованого кореспондентського рахунку в СЕП та/або інформаційних задачах Національного банку та вирішують усі поточні питання роботи із засобами захисту інформації Національного банку в регіональних підрозділах Департаменту інформаційної безпеки за місцем їх розташування.
1.5. Регіональний підрозділ Департаменту інформаційної безпеки надає організаціям засоби захисту, що використовуються в СЕП та/або інформаційних задачах, на підставі договору про використання засобів захисту інформації в системі електронних платежів Національного банку України або договору про використання засобів захисту інформації Національного банку України в інформаційних задачах між організацією та Департаментом інформаційної безпеки.
Департамент інформаційної безпеки через свої регіональні підрозділи та організація укладають між собою вищезазначені договори відповідно до зразків, викладених у додатках 1 і 13 до цих Правил.
Організації, які є безпосередніми учасниками СЕП, не укладають договір про використання засобів захисту в інформаційних задачах, але в цьому випадку регіональний підрозділ Департаменту інформаційної безпеки надає організації програмне забезпечення АРМ-НБУ із супровідним листом, один примірник якого зберігається в регіональному підрозділі Департаменту інформаційної безпеки Національного банку, другий - у справі № 1 адміністратора захисту інформації організації".
2. У главі 2:
1) пункти 2.1, 2.2 викласти в такій редакції:
"2.1. Система захисту охоплює всі етапи розроблення, впровадження та експлуатації програмно-технічних комплексів СЕП та інформаційних задач і визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.
2.2. Система захисту разом з програмно-технічними комплексами забезпечує:
захист від несанкціонованої модифікації та несанкціонованого ознайомлення зі змістом електронних банківських документів на будь-якому етапі їх оброблення;
автоматичне ведення захищеного від несанкціонованої модифікації протоколу оброблення електронних банківських документів з метою визначення причин появи порушень роботи програмно-технічних комплексів;
захист від втручання працівників організацій і Національного банку у зміст електронних банківських документів після їх формування та захист від несанкціонованого втручання в їх оброблення;
автоматичний контроль на кожному етапі оброблення електронних банківських документів";
2) у пункті 2.3 слова "територіального управління/Центральної розрахункової палати Національного банку" замінити словами "Департаменту інформаційної безпеки або його регіональних підрозділів".
3. У пункті 3.15 глави 3:
в абзаці першому слова "яке надало/яка надала" замінити словами "який надав", абревіатуру "АРМ-СЕП" замінити абревіатурою "АРМ-СЕП/АРМ-НБУ";
абзац другий викласти в такій редакції:
"Департамент інформаційної безпеки зобов'язаний організувати перевірку виконання режимних вимог до приміщень протягом п'яти робочих днів із дня надходження цього повідомлення зі складанням відповідної довідки".
4. У главі 4:
1) пункти 4.1, 4.2 викласти в такій редакції:
"4.1. Система захисту інформації Національного банку створена для забезпечення конфіденційності та цілісності електронної інформації, а також суворої автентифікації учасників СЕП, учасників інформаційних задач і фахівців організацій, які беруть участь у підготовці й обробленні електронних документів.
Для здійснення суворої автентифікації організації застосовується система ідентифікації користувачів, яка є основою системи розподілу ключової інформації.
Організація для забезпечення захисту інформації має трибайтний унікальний ідентифікатор, перший знак якого є літерою відповідної території, на якій він розташований, другий і третій є унікальними ідентифікаторами організації у межах цієї території.
Трибайтний ідентифікатор має бути узгоджений з адресою системи ЕП і бути унікальним для кожної організації. Трибайтний ідентифікатор організації записується в ПМГК та АКЗІ, який надається організації та не може бути нею змінений, що забезпечує захист від підроблення ключової інформації від імені іншої організації.
Трибайтний ідентифікатор організації є складовою частиною ідентифікатора ключа криптографічного захисту, що складається із шести символів, з яких перші три є ідентифікаторами організації, четвертий визначає тип робочого місця учасника СЕП (операціоніст, бухгалтер тощо) або тип інформаційної задачі, п'ятий і шостий - ідентифікатор робочого місця або відповідальної особи";
4.2. Для забезпечення захисту інформації від модифікації з одночасною суворою автентифікацією та безперервного захисту електронних банківських документів з часу їх формування система захисту СЕП уключає механізми формування (перевірки) ЕЦП на базі несиметричних алгоритмів RSA та ДСТУ 4145-2002";
2) у підпункті "а" пункту 4.9 слова "апаратні засоби захисту" замінити словами "апаратно-програмні засоби захисту";
3) пункти 4.10, 4.14 викласти в такій редакції:
"4.10. Основними засобами в АРМ-СЕП є АКЗІ.
Генерація ключової пари (ТК та ВК) для АКЗІ відповідно до алгоритму ДСТУ 4145-2002 здійснюється на комп'ютері, де розміщується АРМ-СЕП, за допомогою програмного забезпечення керування АКЗІ, що вбудоване в АРМ-СЕП. Для забезпечення безперебійної роботи АРМ-СЕП з апаратурою захисту ТК повинен записуватися на дві смарт-картки (основну та резервну). Ключова інформація під час роботи АКЗІ використовується виключно на рівні смарт-картки, що унеможливлює підроблення та перехоплення ключової інформації.
Адміністратор АРМ-СЕП зобов'язаний здійснити перехід до роботи з програмними засобами захисту в разі виходу з ладу АКЗІ".
"4.14. За допомогою ПМГК організація має змогу генерувати ключову пару (ТК та ВК) відповідно до алгоритму RSA для всіх робочих місць, де працюють з електронними банківськими документами. Кожен ТК робочого місця обов'язково має бути захищений особистим паролем відповідальної особи, яка працює з цим ключем.
Для забезпечення захисту ключової інформації від несанкціонованої модифікації ВК мають надсилатися до Департаменту інформаційної безпеки для сертифікації (крім ВК для робочих місць операціоністів, що використовуються лише в САБ).
Департамент інформаційної безпеки здійснює сертифікацію ВК та надсилає засобами системи ЕП на адресу організації відповідні сертифікати ВК. Організація зобов'язана вжити заходів щодо своєчасного оновлення ТВК відповідно до експлуатаційної документації для АРМ-СЕП та інформаційних задач";
4) у пункті 4.15 слова "порядок їх зберігання та використання" замінити словами "порядок зберігання та використання ПМГК";
5) у колонці 3 рядка 10 таблиці пункту 4.16 слово "інформатизації" замінити словами "інформаційних технологій";
6) в абзаці першому пункту 4.17 слова "з яким/якою укладено договір про використання криптографічних засобів захисту інформації в системі електронних платежів/інформаційних задачах Національного банку" замінити словами "за місцезнаходженням організації".
5. Після глави 4 доповнити Правила новою главою 5 такого змісту:
"Глава 5. Особливості захисту інформації в СЕП
5.1. Для підвищення ступеня захисту електронних банківських документів у СЕП використовується технологічний контроль, який реалізовується програмно-технічними комплексами на всіх рівнях їх оброблення, що дає змогу контролювати здійснення розрахунків протягом банківського дня, а також виконувати їх звірку в кінці банківського дня.
Технологічні засоби контролю включають:
механізм обміну електронними підтвердженнями, який дає змогу однозначно ідентифікувати отримання адресатом будь-якого файла або пакета електронних банківських документів у СЕП;
механізм інформування банку - учасника СЕП щодо поточного стану його кореспондентського рахунку за підсумками циклів оброблення платежів у ЦОСЕП, щодо поточного стану його технічного рахунку;
взаємообмін між банком і ЦОСЕП технологічною інформацією за підсумками банківського дня з переліком відображених за технічним рахунком міжбанківських електронних розрахункових документів, що оброблені засобами СЕП у файловому режимі та режимі реального часу, що дає змогу здійснювати їх програмне звіряння як у ЦОСЕП, так і в банку;
засоби самодіагностики, які дають змогу виявляти порушення цілісності баз даних програмного забезпечення ЦОСЕП, псування яких може виникнути внаслідок порушень функціонування СЕП, спроб несанкціонованого доступу або фізичного псування баз даних;
механізм резервування та відновлення з процедурами контролю цілісності та актуальності інформації під час відновлення роботи ЦОСЕП;
технологічну інформацію ЦОСЕП про стан технічних рахунків і функціонування СЕП за підсумками банківського дня.
Технологічні засоби контролю, вбудовані в програмно-технічні комплекси СЕП, не можуть бути відключені. У разі виникнення нестандартної ситуації або підозри щодо несанкціонованого доступу ЦОСЕП автоматично формує повідомлення для оперативного реагування адміністратором ЦОСЕП.
5.2. Основним засобом шифрування файлів (пакетів) СЕП є АКЗІ. Робота АКЗІ контролюється вбудованими в ЦОСЕП і АРМ-СЕП програмними засобами захисту інформації і забезпечує апаратне шифрування (розшифрування) інформації за стандартом ДСТУ ГОСТ 28147:2009.
Як резервний засіб шифрування в СЕП використовується вбудована в ЦОСЕП і АРМ-СЕП функція програмного шифрування. Для кожного файла (пакета) СЕП, що обробляється АРМ-СЕП, генерується одноразовий ключ шифрування для алгоритму ДСТУ ГОСТ 28147:2009, який обробляється відповідно до стандарту ISO 11166-94 і додається до повідомлення в зашифрованому вигляді.
Засоби шифрування ЦОСЕП і АРМ-СЕП (як АКЗІ, так і програмне шифрування) забезпечують сувору автентифікацію відправника та отримувача електронного банківського документа, цілісність кожного документа в результаті неможливості його підроблення або несанкціонованого модифікування в шифрованому вигляді та унеможливлюють виконання розшифрування повідомлення будь-ким, крім його дійсного отримувача.
АРМ-СЕП і ЦОСЕП у режимі реального часу забезпечують додаткову сувору взаємну автентифікацію під час установлення сеансу зв'язку.
Під час роботи АРМ-СЕП створює шифровані архіви оброблених електронних банківських документів та захищений від модифікації протокол роботи АРМ-СЕП, у якому фіксуються всі дії, що ним виконуються, із зазначенням дати та часу оброблення електронних банківських документів. Наприкінці банківського дня шифровані архіви та протокол роботи АРМ-СЕП підлягають збереженню в архіві. Розшифрування інформації, що зберігається в архіві, здійснюється лише шляхом застосування ключа, який зберігається в Національному банку.
5.3. Департамент інформаційної безпеки надає банкам (філіям) інформаційні послуги щодо достовірності інформації за електронними банківськими документами у разі виникнення спорів.
Департамент інформаційної безпеки розшифровує копію шифрованого архіву учасника СЕП за його наявності та з абсолютною достовірністю визначає:
ідентифікатор банку - учасника СЕП, який надіслав (зашифрував) електронний банківський документ;
ідентифікатор банку - учасника СЕП, якому адресовано електронний банківський документ;
дату, годину та хвилину виконання шифрування електронного банківського документа;
дату, годину та хвилину розшифрування електронного банківського документа;
відповідність усіх електронних цифрових підписів, якими був захищений від модифікації електронний банківський документ.
Під час використання АКЗІ додатково визначаються:
номер апаратури захисту, на якій виконувалося шифрування або розшифрування електронного банківського документа;
номер смарт-картки, якою користувалися під час шифрування або розшифрування електронного банківського документа.
Департамент інформаційної безпеки надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо учасники СЕП:
кожного робочого дня формують і надійно зберігають архіви роботи АРМ-СЕП, до яких мають входити журнали програмного та апаратного шифрування та захищені від модифікації протоколи роботи АРМ-СЕП;
подають копії архівів АРМ-СЕП за відповідний банківський день.
Департамент інформаційної безпеки надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо між учасниками СЕП виникли спори з питань, пов'язаних з електронними банківськими документами, у разі:
невиконання автентифікації або розшифрування електронного банківського документа;
відмови від факту одержання електронного банківського документа;
відмови від факту формування та надсилання електронного банківського документа;
ствердження, що одержувачу надійшов електронний банківський документ, а насправді він не надсилався;
ствердження, що електронний банківський документ був сформований та надісланий, а він не формувався або було надіслане інше повідомлення;
виникнення спору щодо змісту одного й того самого електронного банківського документа, сформованого та надісланого відправником і одержаного та правильно автентифікованого одержувачем;
роботи з архівом учасника СЕП під час проведення ревізій тощо.
Департамент інформаційної безпеки надає учасникам СЕП письмові відповіді щодо порушених питань".
У зв'язку з цим глави 5 - 17 уважати відповідно главами 6 - 18 (із відповідною перенумерацією пунктів).
У тексті Правил посилання на глави 5 - 17 замінити посиланнями відповідно на глави 6 - 18, посилання на пункти 5.1 - 5.5, 6.1 - 6.12, 7.1 - 7.15, 8.1 - 8.15, 9.1 - 9.8, 10.1 - 10.4, 11.1 - 11.7, 12.1 - 12.6, 13.1 - 13.4, 14.1 - 14.4, 15.1 - 15.3, 16.1 - 16.10, 17.1 - 17.3 замінити посиланнями відповідно на пункти 6.1 - 6.5, 7.1 - 7.12, 8.1 - 8.15, 9.1 - 9.15, 10.1 - 10.8, 11.1 - 11.4, 12.1 - 12.7, 13.1 - 13.6, 14.1 - 14.4, 15.1 - 15.4, 16.1 - 16.3, 17.1 - 17.10, 18.1 - 18.3.
6. Пункт 6.4 глави 6 викласти в такій редакції:
"6.4. Регіональний підрозділ Департаменту інформаційної безпеки зберігає один примірник, а організація - другий примірник акта про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 4), за яким АКЗІ разом із смарт-картками передаються в організацію. ПМГК передаються організації згідно із супровідним листом".
7. У главі 7:
1) у пункті 7.6:
у підпункті "а" слова, цифри і літери "територіальне управління/", "(поштова скринька v32rpal)" виключити;
у підпункті "б" слова "територіальне управління/" виключити;
абзац другий підпункту "г" викласти в такій редакції:
"АКЗІ разом з усіма наявними СК (із записом їх номерів) згідно з актом про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 4), один примірник якого зберігає регіональний підрозділ Департаменту інформаційної безпеки, другий - організація";
у підпункті "е" слова "територіальне управління/Центральна розрахункова палата Національного банку" у всіх відмінках замінити словами "Центральна розрахункова палата Національного банку" у відповідних відмінках, слова, цифри і літери "(поштові скриньки ZAHIST і v32rpal)" виключити;
у підпункті "є" слова "одержати консультацію та", "територіальне управління/" виключити;
2) підпункт "а" пункту 7.7 викласти в такій редакції:
"а) ужити заходів щодо переведення АРМ-СЕП на роботу з програмними засобами захисту і отримання нового комплекту АКЗІ та СК, що передбачені пунктом 7.6 цієї глави";
8. У главі 8:
1) у пункті 8.2:
в абзаці першому слова "в разі негативних результатів перевірки" замінити словами "в разі негативних результатів перевірки ПМГК";
підпункти "а" і "б" викласти в такій редакції:
"а) повідомити про це засобами електронної пошти Національного банку регіональний підрозділ Департаменту інформаційної безпеки протягом одного робочого дня і діяти відповідно до його рекомендацій;
б) повернути до регіонального підрозділу Департаменту інформаційної безпеки ПМГК разом із супровідним листом у паперовій формі. У листі повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення ПМГК";
2) пункт 8.5 викласти в такій редакції:
"8.5. Організація зобов'язана повернути ПМГК до регіонального підрозділу Департаменту інформаційної безпеки разом із супровідним листом у паперовій формі після завершення строку використання (Національний банк установлює дату). У цьому листі повинні зазначатися версія ПМГК, дата створення і час його введення в експлуатацію, причина повернення.
Організація зобов'язана знищити робочу копію ПМГК (якщо немає інших вимог Національного банку) на місці методом, який унеможливлює її відновлення (наприклад, шляхом фрагментарного подрібнення гнучкого магнітного диску), і скласти акт про знищення засобів захисту інформації Національного банку України (додаток 6). Регіональний підрозділ Департаменту інформаційної безпеки зберігає один примірник цього акта або оригінал, організація - другий або копію.
Адміністратор захисту інформації зобов'язаний зробити відповідний запис про повернення ПМГК до регіонального підрозділу Департаменту інформаційної безпеки та знищення його копії в організації із зазначенням номерів і дат супровідного листа та акта про знищення копії у журналі обліку адміністратора захисту інформації (розділ 2 додатка 3)";
3) підпункт "в" пункту 8.6 після слів "Національного банку" доповнити словами "засобами електронної пошти Національного банку".
9. У главі 10:
1) в абзаці третьому пункту 10.4 слова "зобов'язане/зобов'язана" замінити словом "зобов'язаний";
2) пункт 10.5 викласти в такій редакції:
"10.5. Департамент інформаційної безпеки на підставі повідомлення регіонального підрозділу Департаменту інформаційної безпеки має право звернутися до керівника організації з пропозицією призначити нового адміністратора захисту інформації в разі неналежного виконання/невиконання ним своїх обов'язків або розпочати процедуру вилучення наданих організації засобів захисту".
10. У главі 12:
1) підпункти "а", "б", "г" пункту 12.3 викласти в такій редакції:
"а) нормативно-правові акти Національного банку, рекомендації Національного банку з питань захисту інформації;
б) останню довідку про перевірку регіональним підрозділом Департаменту інформаційної безпеки організації захисту електронної банківської інформації";
"г) акт про приймання-передавання засобів захисту інформації та/або супровідний лист до засобів захисту інформації, які перебувають у використанні";
2) у пункті 12.4:
підпункти "а", "в" викласти в такій редакції:
"а) листи про надання засобів захисту інформації (додаток 7)";
"в) акт про приймання-передавання засобів захисту інформації та/або супровідний лист до засобів захисту інформації, які були повернуті до регіонального підрозділу Департаменту інформаційної безпеки";
11. У главі 13:
1) у пункті 13.1 слова "зобов'язане/зобов'язана" замінити словами "зобов'язаний";
2) пункти 13.2, 13.5 викласти в такій редакції:
"13.2. Підставою для перевірки є відповідний розпорядчий документ Департаменту інформаційної безпеки Національного банку";
"13.5. Департамент інформаційної безпеки на підставі повідомлення регіонального підрозділу Департаменту інформаційної безпеки вирішує питання про надання організації необхідних засобів захисту і документів, що регламентують правила інформаційної безпеки під час роботи з ними, у робочому порядку";
3) пункт 13.6 доповнити новим абзацом першим такого змісту:
"13.6. Засоби захисту для організації виготовляються Департаментом інформаційної безпеки на замовлення регіонального підрозділу Департаменту інформаційної безпеки. Замовлення на виготовлення засобів захисту інформації має подаватися не пізніше ніж за 10 календарних днів до включення організації до Довідника учасників СЕП".
У зв'язку з цим абзац перший уважати абзацом другим.
12. У главі 14:
1) пункт 14.2 викласти в такій редакції:
"14.2. Організація зобов'язана повернути АКЗІ разом із СК до регіонального підрозділу Департаменту інформаційної безпеки в разі її ліквідації або отримання від Департаменту інформаційної безпеки Національного банку листа з вимогою повернення засобів захисту протягом трьох робочих днів згідно з актом про приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 4), один примірник якого зберігає регіональний підрозділ Департаменту інформаційної безпеки Національного банку, другий - організація";
2) пункт 14.3 викласти в такій редакції:
"Організація у випадках, передбачених підпунктом "б" пункту 14.1 цієї глави, зобов'язана:
а) повідомити регіональний підрозділ Департаменту інформаційної безпеки про передбачувані строки і порядок виходу організації із СЕП або переходу на іншу модель роботи, погодити перелік засобів захисту, журналів, які підлягають поверненню до регіонального підрозділу Департаменту інформаційної безпеки, передаванню до архіву організації або знищенню на місці;
б) ужити заходів щодо повернення до регіонального підрозділу Департаменту інформаційної безпеки, знищення на місці і передавання до архіву організації засобів захисту, справ, журналів обліку зі складанням акта приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 4) та/або супровідного листа про повернення ПМГК та акта про повернення до регіонального підрозділу Департаменту інформаційної безпеки, знищення і передавання до архіву засобів захисту інформації Національного банку, справ і журналів обліку (додаток 11);
в) надіслати до регіонального підрозділу Департаменту інформаційної безпеки вищезазначені документи, один примірник яких зберігає регіональний підрозділ Департаменту інформаційної безпеки, другий - організація".
13. У главі 16:
1) у пункті 16.1 слова "(по телефону)" замінити словами "телефоном та протягом трьох робочих днів у листі";
2) в абзаці першому пункту 16.3 слова "одного робочого дня" замінити словами "трьох робочих днів".
14. У главі 17:
1) в абзаці першому пункту 17.1 слово "документів" виключити;
2) у пункті 17.10 слово "акт" замінити словом "довідка", слово "перший" замінити словом "один", слова "цього акта" замінити словами "цієї довідки".
15. Главу 18 виключити.
16. У підпункті 1.1 пункту 1 додатка 1 слова "(з актом про приймання-передавання)" виключити, слова "програмні засоби захисту інформації (у тому числі програмний модуль генерації ключів)" замінити словами "програмний модуль генерації ключів".
17. У додатку 4:
1) в абзаці першому слова "Начальник (заступник начальника) Управління Національного банку України в ___________________ [Директор (заступник директора) Центральної розрахункової палати Національного банку України]" замінити словами "Директор (заступник директора) Департаменту інформаційної безпеки Національного банку України";
2) назву акта викласти в такій редакції:
"Акт про приймання-передавання апаратних засобів захисту інформації Національного банку України (Зразок)";
слова "служби захисту інформації Управління" замінити словами "регіонального підрозділу Департаменту інформаційної безпеки";
слова "в __________________/Центральної розрахункової палати Національного банку України" та "програмного модуля генерації ключів версії __________" виключити.
18. У додатку 6 слова "Управління Національного банку України в _______________________________/Центральної розрахункової палати" замінити словами "Департаменту інформаційної безпеки".
19. У додатку 7 слова "ЕЛЕКТРОННА ПОШТА" замінити словами "ЕЛЕКТРОННЕ ПОВІДОМЛЕННЯ", слова "Управління Національного банку України в ____________________ (Центральна розрахункова палата Національного банку України)" замінити словами "Національний банк України Департамент інформаційної безпеки".
20. У додатку 9:
1) у пункті 5 слова "службі захисту інформації територіального управління/Центральної розрахункової палати" замінити словами "регіональному підрозділу Департаменту інформаційної безпеки";
2) у пункті 6 слова "територіальним управлінням/Центральною розрахунковою палатою" замінити словами "регіональним підрозділом Департаменту інформаційної безпеки";
3) слова "від Управління Національного банку України в _____________________________ (Від Центральної розрахункової палати Національного банку України)" замінити словами "від регіонального підрозділу Департаменту інформаційної безпеки".
21. У примітці додатка 10 слова "суміщення можливе як виняток" замінити словами "суміщення можливе як виняток за погодженням з Департаментом інформаційної безпеки".
22. У додатку 11:
1) слова та цифри "ПОГОДЖЕНО Начальник (заступник начальника) Управління Національного банку України в ____________________ [Директор (заступник директора) Центральної розрахункової палати Національного банку України] ___________________________ (підпис, ініціали, прізвище) "___" ____________ 200_ р. М. П." виключити;
2) у назві акта слова "територіального управління/Центральної розрахункової палати" замінити словами "регіонального підрозділу Департаменту інформаційної безпеки";
3) слова "договору про використання засобів захисту інформації Національного банку України в інформаційних задачах" замінити словами "договору про використання засобів захисту інформації в системі електронних платежів Національного банку України/договору про використання засобів захисту інформації Національного банку України інформаційних задачах";
4) у пункті 1 слова "до територіального управління/Центральної розрахункової палати" замінити словами "до регіонального підрозділу Департаменту інформаційної безпеки";
5) слова та абревіатуру "відкриті ключі АРМ-СЕП" замінити словами та абревіатурою "відкриті ключі АРМ-СЕП/АРМ-НБУ", слова та абревіатуру "таблиці відкритих ключів АРМ-СЕП" замінити словами та абревіатурою "таблиці відкритих ключів АРМ-СЕП/АРМ-НБУ";
6) слова "Служба захисту інформації територіального управління/Центральної розрахункової палати" замінити словами "Представник регіонального підрозділу Департаменту інформаційної безпеки".
23. У додатку 12:
1) слова та цифри "ПОГОДЖЕНО Керівник (заступник керівника) організації ___________________ (підпис, ініціали, прізвище) "___" ____________ 200__ р. М. П." виключити;
2) слова "ЗАТВЕРДЖЕНО Начальник (заступник начальника) Управління Національного банку України в ____________________ [Директор (заступник директора) Центральної розрахункової палати Національного банку України] ___________________________ (підпис, ініціали, прізвище) "___" ____________ 200__ р. М. П." виключити;
3) у назві акта слово "Акт" замінити словом "Довідка";
4) слова "служби захисту інформації територіального управління/Центральної розрахункової палати" замінити словами "регіонального підрозділу Департаменту інформаційної безпеки";
5) слова та цифри "Інструкції про міжбанківський переказ коштів в Україні в національній валюті, затвердженої постановою Правління Національного банку України від 16.08.2006 № 320, зареєстрованої в Міністерстві юстиції України 06.09.2006 за № 1035/12909" виключити;
6) слова "з актом" замінити словами "з довідкою";
7) у примітці слово "акта" замінити словом "довідки".
24. Доповнити Правила додатком 13 такого змісту:
"ДОГОВІР
про використання засобів захисту інформації в системі електронних платежів Національного банку України
(Зразок)"
25. У додатках 6, 9, 12 слова та цифри "від ___.___.2007 № ________,
зареєстрованих у Міністерстві юстиції України ___.___.2007 за № ________"
замінити словами та цифрами "від 02 квітня 2007 року № 112, зареєстрованих у Міністерстві юстиції України 24 квітня 2007 року за № 419/13686 (зі змінами)".
26. У додатках 4, 6, 7, 9, 11, 12 цифри та літеру "200_ р." замінити цифрами та літерою "20__ р."
27. У тексті Правил слова "територіальне управління/Центральна розрахункова палата Національного банку" у всіх відмінках замінити словами "регіональний підрозділ Департаменту інформаційної безпеки" у відповідних відмінках.