Кібербезпека банківських та комерційних структур
7. Захист інформації при здійсненні переказів грошових коштів з використанням ЗКЗІ
Захист інформації при здійсненні переказів грошових коштів з використанням ЗКЗІ здійснюється в наступному порядку.
а) Роботи щодо забезпечення захисту інформації за допомогою СКЗІ проводяться відповідно до закону України "Про електронний підпис" (Відомості Верховної Ради України, 2011, N 15, ст. 2036; N 27, ст. 3880), Положенням про розробку, виробництво, реалізацію та експлуатацію шифрувальних (криптографічних) засобів захисту інформації (Положення ПКЗ-2005), затвердженим наказом служби безпеки України та технічною документацією на ЗКЗІ.
б) У випадку якщо Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури застосовують ЗКЗІ російського виробника, зазначені ЗКЗІ повинні мати сертифікати уповноваженого державного органу.
Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури застосовують ЗКЗІ, які:
• допускають вбудовування ЗКЗІ в технологічні процеси здійснення переказів грошових коштів, забезпечують взаємодію з прикладним програмним забезпеченням на рівні обробки запитів на криптографічні перетворення і видачі результатів;
• поставляються розробниками з повним комплектом експлуатаційної документації, включаючи опис ключової системи, правила роботи з нею, а також обґрунтування необхідного організаційно-штатної забезпечення;
• підтримують безперервність процесів протоколювання роботи ЗКЗІ і забезпечення цілісності програмного забезпечення для середовища функціонування ЗКЗІ, що представляє собою сукупність технічних і програмних засобів, спільно з якими відбувається штатне функціонування ЗКЗІ і які здатні вплинути на виконання пропонованих до ЗКЗІ вимог.
в) У разі застосування ЗКЗІ Учасник, Агент (Субагент), Оператор Послуг Платіжної Інфраструктури визначають у внутрішніх документах і виконують порядок застосування ЗКЗІ, що включає:
• порядок введення в дію, включаючи процедури вбудовування ЗКЗІ в автоматизовані системи, які використовуються для здійснення переказів грошових коштів;
• порядок експлуатації ЗКЗІ;
• порядок відновлення працездатності ЗКЗІ у випадках збоїв і (або) відмов у їх роботі;
• порядок внесення змін до програмного забезпечення ЗКЗІ і технічну документацію на ЗКЗІ;
• порядок зняття з експлуатації ЗКЗІ;
• порядок управління ключовою системою;
• порядок поводження з носіями криптографічних ключів, включаючи порядок застосування організаційних заходів захисту інформації та використання технічних засобів захисту інформації, призначених для запобігання несанкціонованого використання криптографічних ключів, і порядок дій при зміні і компрометації ключів.
г) Криптографічні ключі виготовляються клієнтом (самостійно), Оператором Послуг Платіжної Інфраструктури і (або) Учасником.
д) Безпека процесів виготовлення криптографічних ключів ЗКЗІ забезпечується комплексом технологічних заходів захисту інформації, організаційних заходів захисту інформації та технічних засобів захисту інформації відповідно до технічної документації на ЗКЗІ.
е) Оператор визначає необхідність використання СКЗІ, якщо інше не передбачено законами та іншими нормативними правовими актами України.