Кібербезпека банківських та комерційних структур
1. Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України
Положення про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України
1. Це Положення визначає принципи побудови системи захисту інформації та порядок отримання і повернення ЗЗІ організаціями.
2. Безпосередні учасники СЕП отримують ЗЗІ для використання в СЕП та інформаційних задачах незалежно від моделі обслуговування консолідованого кореспондентського рахунку банку в СЕП. Опосередковані учасники СЕП та організації, які не є учасниками СЕП, отримують ЗЗІ для використання їх в інформаційних задачах Національного банку України (далі - Національний банк).
Організації взаємодіють за всіма поточними питаннями роботи із ЗЗІ з Департаментом інформаційної безпеки Національного банку України (далі- Департамент інформаційної безпеки) та отримують ЗЗІ в територіальних управліннях Національного банку України (далі - територіальні управління) за місцем їх розташування. Організації міста Києва і Київської області отримують ЗЗІ в Департаменті інформаційної безпеки.
3. Організації, які використовують ЗЗІ, зобов´язані виконувати організаційні заходи інформаційної безпеки щодо використання, зберігання, обліку ЗЗІ згідно з Правилами організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженими постановою Правління Національного банку від 26 листопада 2015 року N 829 (далі - Правила).
4. Департамент інформаційної безпеки здійснює перевірку дотримання вимог Правил в організаціях відповідно до Положення про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України, затвердженого постановою Правління Національного банку від 26 листопада 2015 року N 829 (далі - Положення про порядок перевірки).
5. Організація зобов´язана узгоджувати з Департаментом інформаційної безпеки питання, які можуть виникати під час роботи із ЗЗІ і які не передбачені Правилами.
6. Керівник організації забезпечує дотримання вимог щодо інформаційної безпеки в ній, визначених цим Положенням. II. Принципи побудови системи захисту інформації
7. Система захисту інформації створена для забезпечення конфіденційності та цілісності інформації в електронній формі на будь-якому етапі її оброблення, а також суворої автентифікації учасників СЕП, учасників інформаційних задач і фахівців організацій, які беруть участь у підготовці й обробленні електронних документів.
8. Для забезпечення цілісності інформації, суворої автентифікації та безперервного захисту електронних банківських документів з часу їх формування система захисту інформації використовує механізми формування (перевірки) ЕЦП на базі несиметричних алгоритмів RSA та ДСТУ 4145-2002.
9. Організація для забезпечення захисту інформації зобов´язана мати три- байтний унікальний ідентифікатор (далі - унікальний ідентифікатор), перший символ якого є літерою на позначення відповідної території, на якій вона розташована, другий і третій символи утворюють унікальний ідентифікатор організації в межах цієї території.
Унікальний ідентифікатор має бути узгоджений з адресою організації в системі електронної пошти Національного банку. Унікальний ідентифікатор записується в ПМГК та АКЗІ, які надаються організації, та не може бути нею змінений, що забезпечує захист від підроблення ключової інформації від імені іншої організації.
Ідентифікатори ключів криптографічного захисту, що використовуються організацією, складаються з шести символів, з яких перші три є унікальним ідентифікатором організації, четвертий символ визначає тип робочого місця учасника СЕП (операціо- ніст, бухгалтер тощо) або тип інформаційної задачі, п´ятий і шостий - ідентифікатор робочого місця або відповідальної особи.
10.Організація забезпечує захист електронних банківських документів, шифрування/дешифрування і накладання/перевірку ЕЦП за допомогою таких криптографічних ЗЗІ:
1)апаратно-програмних ЗЗІ, до складу яких входять АКЗІ, СК, програмне забезпечення керування АКЗІ, що вбудоване в АРМ-СЕП і не може бути вилучене або використане окремо, з відповідними ТВК та криптобібліотеками;
2) програмних ЗЗІ, до складу яких входять програмний модуль для шифрування, вбудований в АРМ-СЕП, ПМГК з незаповненими ТВК, носіїв ТК, відповідними ТВК та криптобібліотеками.
11.Національний банк забезпечує побудову ключової системи криптографічного захисту для СЕП та інформаційних задач. Ця система складається з ключів програмних ЗЗІ, що генеруються в організаціях за допомогою наданих ПМГК, і ключів апаратних ЗЗІ, які генеруються безпосередньо АРМ-СЕП за допомогою АКЗІ.
12. Основними ЗЗІ в АРМ-СЕП є АКЗІ.
Адміністратор АРМ-СЕП здійснює генерацію ключової пари (ТК та ВК) для АКЗІ на комп´ютері, де розміщується АРМ-СЕП, за допомогою програмного забезпечення керування АКЗІ, що вбудоване в АРМ-СЕП. Генерація здійснюється відповідно до алгоритму, визначеного в національному стандарті України ДСТУ 4145-2002. Для забезпечення безперебійної роботи АРМ-СЕП з апаратурою захисту адміністратор АРМСЕП повинен записувати ТК на дві СК (основну та резервну). Ключова інформація під час роботи АКЗІ використовується виключно на рівні АКЗІ, що унеможливлює підроблення та перехоплення ключової інформації.
У разі виходу з ладу АКЗІ адміністратор АРМ-СЕП здійснює перехід до роботи з програмними ЗЗІ.
13.За допомогою ПМГК організація має право генерувати ключову пару (ТК та ВК) відповідно до несиметричного алгоритму RSA для всіх робочих місць, де працюють з електронними банківськими документами. Кожен ТК робочого місця захищений особистим паролем відповідальної особи, яка працює з цим ключем.
Для забезпечення захисту ключової інформації від несанкціонованої модифікації адміністратор інформаційної безпеки надсилає ВК до Департаменту інформаційної безпеки для сертифікації (крім ВК для робочих місць операціо- ністів, що використовуються лише в САБ).
Департамент інформаційної безпеки здійснює сертифікацію ВК та надсилає засобами системи електронної пошти Національного банку на адресу організації відповідні сертифікати ВК. Організація вживає заходів щодо своєчасного оновлення ТВК відповідно до експлуатаційної документації для АРМ-СЕП, АРМ-НБУ-інф, САБ та інформаційних задач.
16. Департамент інформаційної безпеки надає криптобібліотеки безкоштовно всім організаціям, які використовують ЗЗІ, для вбудовування в програмне забезпечення САБ або інше відповідне програмне забезпечення.
17. В організації використовуються такі ЗЗІ:
1 АКЗІ (для безпосереднього учасника СЕП) 1
2 СК (для безпосереднього учасника СЕП) 2
3 ПМГК 1
4 Копія ПМГК 1
5 ТКАРМ-СЕП (для безпосереднього учасника СЕП) 1 + копія
6 ТК АРМ-НБУ-інф 1 + копія
7 ТК АРМ бухгалтера САБ (для безпосереднього учасника СЕП). За кількістю відповідальних осіб, але не більше 5
8 ТК технолога (для безпосереднього учасника СЕП). За кількістю відповідальних осіб, але не більше 5
9 ТК операціоністів (для безпосереднього учасника СЕП). За кількістю відповідальних осіб
10 ТК інших робочих та технологічних місць для інформаційних задач. За вказівками Національного банку
16. Центральна розрахункова палата Національного банку надає консультації щодо супроводження АРМ-СЕП/АРМ-НБУ-інф, а також технологічного процесу проходження електронних платежів у СЕП та електронних документів в інформаційних задачах. III. Порядок отримання і повернення ЗЗІ
17. Умовами для отримання ЗЗІ є:
• лист-звернення від організації-замовника до Департаменту інформаційної безпеки про укладення договору із зазначенням для цієї організації-замовника та її філій, якщо такі існують, унікального ідентифікатора, коду банку, назв інформаційних задач, з якими планують працювати, а також орієнтовної дати початку роботи в цих задачах;
• укладення договору про використання засобів захисту інформації Національного банку України між організацією-замовником та Національним банком;
• забезпечення відповідності приміщень, у яких будуть оброблятися електронні банківські документи, використовуються та зберігаються ЗЗІ, вимогам, що визначені Правилами;
• призначення посадових осіб, відповідальних за зберігання та використання ЗЗІ;
• лист-доручення (довіреність) про отримання конкретних ЗЗІ особі, відповідальній за отримання ЗЗІ для організації.
18. Департамент інформаційної безпеки проводить перевірку готовності організації замовника, її філій до включення в СЕП та інформаційні задачі відповідно до розділу III Положення про порядок перевірки.
19. Департамент інформаційної безпеки від імені Національного банку та організація замовник укладають між собою договір відповідно до зразка, викладеного в додатку 1 до цього Положення.
Організація-замовник здійснює оплату Національному банку всіх послуг, наданих Національним банком за цим договором як організації-замовнику, так і її філіям.
Організація-замовник зобов´язана внести зміни до договору в разі:
1) переходу на роботу з однієї моделі обслуговування консолідованого кореспондентського рахунку банку на іншу;
2) зміни місцезнаходження філії з однієї області України на іншу;
3) появи нових філій або закриття наявних. Організація-замовник зобов´язана переукласти договір у разі зміни свого місцезнаходження з однієї області України на іншу і отримати ЗЗІ з новим ідентифікатором, який відповідає новому місцезнаходженню.
20. Департамент інформаційної безпеки в разі відсутності недоліків за результатами перевірки готовності включення організації в СЕП та/або інформаційні задачі:
1) виготовляє ЗЗІ для цієї організації;
2) надає ЗЗІ організації через територіальне управління за місцезнаходженням організації або безпосередньо для міста Києва та Київської області.
21. Відповідальна за отримання ЗЗІ особа організації зобов´язана прибути до територіального управління за місцем розташування організації з документом, який засвідчує особу, та листом-дорученням або довіреністю, які надають право на отримання/заміну ЗЗІ, для отримання ЗЗІ з оформленням акта про
приймання-передавання апаратних засобів захисту інформації Національного банку України (додаток 2).
22.Департамент інформаційної безпеки разом з документом на отриман- ня/заміну ЗЗІ зберігає один примірник, а організація - другий примірник акта про приймання передавання апаратних засобів захисту інформації Національного банку України, за яким АКЗІ та смарт-картки передаються в організацію, а також зберігає копію супровідного листа, а організація - супровідний лист, згідно з яким ПМГК передається в організацію.
Департамент інформаційних технологій Національного банку постачає криптобібліотеки, необхідні для роботи АРМ-СЕП і АРМ-НБУ-інф, разом з цими АРМ, у тому числі в разі їх оновлень - разом з оновленнями програмного забезпечення цих АРМ. Криптобібліотеки та програмний модуль криптографічного захисту інформації, вбудований в АРМ-СЕП, обліку і поверненню не підлягають.
Криптобібліотеки, призначені для вбудування в САБ або інше програмне забезпечення, постачаються за окремим листом Департаменту інформаційної безпеки або за запитом від організації.
23. Для завершення підготовки до включення в СЕП організація зобов´язана виконати генерацію ключів для АРМ-СЕП та отримати їх сертифікати за один робочий день до включення до Довідника учасників СЕП.
24. Організація, яка отримала ЗЗІ, не має права:
• передавати їх третім особам, установам чи організаціям, а також іншим установам однієї юридичної особи;
• використовувати їх за іншим місцезнаходженням, ніж це зазначено в договорі;
• використовувати їх в інших платіжних системах банків, у територіально відокремлених відділеннях (філіях) банків.
25. Організація зобов´язана повернути ЗЗІ до Департаменту інформаційної безпеки через територіальне управління в разі:
1) ліквідації;
2) припинення роботи із ЗЗІ, а саме: виключення з учасників СЕП;
• переходу на роботу з однієї моделі обслуговування консолідованого кореспондентського рахунку банку на іншу;
• зміни місцезнаходження з однієї області України на іншу;
3) виходу з ладу ЗЗІ;
4) на вимогу Департаменту інформаційної безпеки в разі виявлення суттєвих порушень в організації захисту електронних банківських документів.
26.Організація зобов´язана повернути АКЗІ разом із СК до Департаменту інформаційної безпеки через територіальне управління в разі виходу АКЗІ з ладу або отримання від Департаменту інформаційної безпеки листа з вимогою повернення ЗЗІ протягом трьох робочих днів з укладенням акта про приймання- передавання апаратних засобів захисту інформації Національного банку України, один примірник якого зберігає Департамент інформаційної безпеки, другий - організація.
27. Організація у випадках, передбачених підпунктами 1 і 2 пункту 27, зобов´язана:
1) повідомити Департамент інформаційної безпеки про передбачувані строки і порядок виключення з учасників СЕП, переходу на іншу модель обслуговування консолідованого кореспондентського рахунку банку або зміни місцезнаходження, погодити перелік ЗЗІ, що підлягають поверненню до Департаменту інформаційної безпеки;
2) ужити заходів щодо повернення до Департаменту інформаційної безпеки, знищення на місці і передавання до архіву організації ЗЗІ, справ, журналів обліку зі складанням відповідного акта (додаток 3);
3) повернути до Департаменту інформаційної безпеки через територіальне управління ЗЗІ з актом, зазначеним у підпункті 2 цього пункту, один примірник якого зберігає Департамент інформаційної безпеки, другий - організація.
28. Організація, яка використовує ЗЗІ, зобов´язана виконувати організаційні вимоги щодо їх отримання, використання та зберігання і своєчасної заміни відповідних ключів до них.
Департамент інформаційної безпеки має право вилучати з організації ЗЗІ в разі невиконання вимог щодо використання та зберігання ЗЗІ і вимог до приміщень. IV. Заходи інформаційної безпеки в СЕП
29. Технологічні засоби контролю, вбудовані в програмно-технічні комплекси СЕП, не можуть бути відключені. У разі виявлення нестандартної ситуації, яка може свідчити про підозру щодо несанкціонованого доступу до СЕП від імені певного учасника СЕП, ЦОСЕП автоматично припиняє приймання початкових електронних розрахункових документів та повідомлень від цього учасника.
30. Основним засобом шифрування файлів (пакетів) СЕП є АКЗІ. Робота АКЗІ контролюється вбудованими в ЦОСЕП і АРМ-СЕП програмними ЗЗІ і забезпечує апаратне шифрування (розшифрування) інформації за алгоритмом, визначеним у національному стандарті України ДСТУ ГОСТ 28147:2009.
Як резервний засіб шифрування в СЕП використовується вбудована в ЦОСЕП і АРМ-СЕП функція програмного шифрування.
31. Засоби шифрування ЦОСЕП і АРМ-СЕП (як АКЗІ, так і програмне шифрування) забезпечують сувору автентифікацію відправника та отримувача електронного банківського документа, цілісність кожного документа в результаті неможливості його підроблення або несанкціонованого модифікування в шифрованому вигляді.
АРМ-СЕП і ЦОСЕП у режимі реального часу забезпечують додаткову сувору взаємну автентифікацію під час установлення сеансу зв´язку.
Під час роботи АРМ-СЕП створює журнали програмного та апаратного шифрування і захищений від модифікації протокол роботи АРМ-СЕП, у якому фіксуються всі дії, що ним виконуються, із зазначенням дати та часу оброблення електронних банківських документів. Наприкінці банківського дня журнали програмного та апаратного шифрування і протокол роботи АРМ-СЕП підлягають обов´язковому збереженню в архіві.
32. Департамент інформаційної безпеки надає банкам (філіям) інформаційні послуги щодо достовірності інформації за електронними банківськими документами в разі виникнення спорів на основі копії архіву роботи АРМ-СЕП за відповідний банківський день.
Департамент інформаційної безпеки розшифровує копію цього архіву та визначає:
1) ідентифікатор банку - учасника СЕП, який надіслав (зашифрував) електронний банківський документ;
2) ідентифікатор банку - учасника СЕП, якому адресовано електронний банківський документ;
3) дату, годину та хвилину виконання шифрування електронного банківського документа;
4) дату, годину та хвилину розшифрування електронного банківського документа;
5) відповідність усіх електронних цифрових підписів, якими був захищений від модифікації електронний банківський документ.
Під час використання АКЗІ додатково визначаються:
1) номер АКЗІ, на якій виконувалося шифрування або розшифрування електронного банківського документа;
2) номер СК, якою користувалися під час шифрування або розшифрування електронного банківського документа.
33. Департамент інформаційної безпеки надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо між учасниками СЕП виникли спори з питань, пов´язаних з електронними банківськими документами, у разі:
1) невиконання автентифікації або розшифрування електронного банківського документа;
2) відмови від факту одержання електронного банківського документа;
3) відмови від факту формування та надсилання електронного банківського документа;
4) ствердження, що одержувачу надійшов електронний банківський документ, а насправді він не надсилався;
5) ствердження, що електронний банківський документ був сформований та надісланий, а він не формувався або було надіслане інше повідомлення;
6) виникнення спору щодо змісту одного й того самого електронного банківського документа, сформованого та надісланого відправником і одержаного та правильно автентифікованого одержувачем;
7) роботи з архівом роботи АРМ-СЕП під час проведення ревізій тощо.
Департамент інформаційної безпеки надає учасникам СЕП письмові відповіді щодо порушених питань. V. Внутрішній контроль за станом інформаційної безпеки в організації
34. Організація зобов´язана інформувати Департамент інформаційної безпеки впродовж одного робочого дня телефоном та протягом трьох робочих днів листом засобами системи електронної пошти Національного банку в таких випадках:
1) виконання (спроби виконання) фіктивного платіжного документа;
2) компрометація ЗЗІ;
3) пошкодження ЗЗІ;
4) несанкціоноване проникнення в приміщення з АРМ-СЕП/АРМ-НБУ- інф (пошкодження вхідних дверей, ґрат на вікнах, спрацювання сигналізації за нез´ясованих обставин тощо);
5) проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, унаслідок якої створюються умови для компрометації ЗЗІ;
6) виникнення інших аварійних або надзвичайних ситуацій, що створюють передумови до розкрадання, втрати, пошкодження тощо ЗЗІ.
35. Внутрішній контроль за станом інформаційної безпеки відповідно до вимог нормативно-правових актів Національного банку в діяльності організації забезпечують:
- керівник організації (особа, яка виконує його обов´язки);
- заступник керівника організації або особа, яка за своїми службовими обов´язками чи за окремим внутрішнім документом організації призначена відповідальною особою за організацію інформаційної безпеки.
36. Адміністратор інформаційної безпеки забезпечує поточний контроль за дотриманням вимог інформаційної безпеки під час використання та зберігання ЗЗІ в організації.
37. Службові особи організації, які відповідають за інформаційну безпеку, зобов´язані надавати письмові або усні відомості про стан ЗЗІ та їх використання, стан захисту інформації в програмному забезпеченні САБ та інших системах, на які поширюються вимоги Національного банку щодо інформаційної безпеки, технологію оброблення електронних банківських документів в організації та систему захисту інформації під час їх оброблення на вимогу Департаменту інформаційної безпеки.
