Платіжні системи – Пиріг С. О. – 5.3.3. Контроль за виконанням вимог щодо захисту інформації у банківських установах

Надійна робота системи захисту неможлива без дотримання адміністративних вимог щодо безпечного використання, зберігання та обліку засобів захисту. Значну увагу слід приділяти, насамперед, розподілу повноважень між службовими особами банківської установи, які беруть участь в обробці міжбанківських електронних розрахункових документів.

Банківські установи, які працюють в інформаційній мережі, мають виконувати організаційні заходи захисту Інформації згідно з Правилами організації захисту електронних банківських документів в установах, включених до інформаційно-обчислювальної мережі Національного банку України, затвердженими постановою Правління Національного банку

України віл 10.06.99 № 280 та зареєстрованими в Міністерстві юстиції Уіфаши 30.08.99 за № 583/3876 [7].

Усі засоби захисту інформації Національного банку, що використовуються в інформаційній мережі, надаються банківським установам лише службами захисту інформації територіальних управлінь.

Умовами для надання засобів захисту інформації є:

– укладення договору про використання криптографічних засобів захисту інформації в інформаційній мережі Національного банку України між банком (філією) та територіальним управлінням тієї області, у якій розташований банк (філія), незалежно’ від моделі обслуговування консолідованого кореспондентського рахунку;

– забезпечення відповідності режимних вимог до приміщень, у яких обробляються електронні банківські документи, використовуються та зберігаються засоби захисту інформації, вимогам, що визначені Правилами;

– призначення службових осіб, які відповідають за зберігання та використання засобів захисту інформації (копія наказу надасться службі захисту інформації територіального управління);

– лист-доручення про отримання конкретних засобів захисту інформації [7].

Засоби захисту інформації для новоствореного банку (філії) виготовляються службою захисту інформації Національного банку на замовлення служби захисту інформації територіального управління. Замовлення на виготовлення засобів захисту інформації має подаватися не пізніше ніж за 10 днів до фактичного включення банку (філії) в СЕМП.

У разі встановлення особливого режиму контролю за діяльністю банку (робота через АРМ-Ю) він має перейти на програмні засоби захисту інформації та повернути комплект АЗЕГО службі захисту інформації територіального управління протягом трьох робочих днів.

Після відміни особливого режиму контролю за діяльністю банку (робота через АРМ-Ю) він одержує у службі захисту інформації територіального управління комплект АЗЕГО та переходить на роботу з апаратними засобами захисту інформації.

У разі ліквідації банку (філії) або його переходу на роботу в СЕП за моделлю обслуговування консолідованого кореспондентського рахунку, яка передбачає використання власної внугрішньо банківської платіжної системи, банк (філія) має повернути засоби захисту інформації службі захисту інформації територіального управління згідно з укладеним договором.

Банківська установа не має права передавати (навіть тимчасово) засоби захисту інформації іншій установі і несе за це відповідальність. У банківській установі обов’язково в окремому журналі ведеться:

– облік апаратних та програмних засобів захисту інформації, нормативно-правових актів щодо користування засобами захисту інформації, електронними носіями з ключами (облікові номери – лише виробничі або служби захисту інформації Національного банку);

– перелік відповідальних осіб, яким передані для користування та зберігання засоби захисту інформації або документи до них;

– перелік службових осіб, на яких згідно з наказом керівника банківської установи покладено виконання криптографічного захисту електронних банківських документів;

– одержання пакетів з електронними картками [7].

Банківська установа веде окрему справу з листування щодо питань захисту інформації.

Режимні вимоги, що висуваються до приміщень банківських установ – учасників інформаційної мережі, які використовують засоби захисту інформації Національного банку, у яких обробляються електронні банківські документи, використовуються та зберігаються в неробочий час засоби захисту інформації, описані в Правилах.

Якщо банківська установа працює в інформаційній мережі лише в інформаційних задачах, а для оброблення розрахункових документів використовує власну внугрішньо банківську платіжну систему, то спеціальні режимні вимоги до приміщення з обмеженим доступом, у якому розміщується АРМ-НБУ, не встановлюються. Вимоги щодо організації роботи з криптографічними засобами захисту мають відповідати Правилам.

5.3.3. Контроль за виконанням вимог щодо захисту інформації у банківських установах

Для забезпечення контролю за виконанням вимог щодо захисту інформації у банківських установах служби захисту інформації територіальних управлінь мають виконувати планові (у разі потреби – позапланові) перевірки всіх банківських установ, що використовують засоби захисту інформації Національного банку. Планові перевірки всіх банківських установ мають виконуватися не менше ніж один-два рази на рік. Підставою для виконання позапланових перевірок є створення банківської установи або переведення її на будь-яку модель обслуговування консолідованого кореспондентського рахунку, зміна розміщення банківської установи тощо. Банківська установа має повідомити службу захисту інформації територіального управління, у якому вона отримала засоби захисту інформації, про зміну місцезнаходження установи та зміну розміщення робочих місць, на яких використовуються засоби захисту інформації, протягом трьох робочих днів [7].

На вимогу служби захисту інформації Національного банку всім службовим особам, відповідальним за здійснення захисту електронних банківських документів, слід негайно надавати письмову або усну інформацію про стан засобів захисту інформації та їх використання, а також інформацію про стан захисту інформації в програмному забезпеченні САБ (у тому числі системи “клієнт-банк”), про технологію обробки електронних банківських документів і систему захисту інформації під час їх обробки.

Перевірте свої знання

Ї. Відповідно до якого Закону України можуть створюватись системи міжбанківських розрахунків?

2. За допомогою яких засобів можуть здійснюватись міжбанківські розрахунки?

3. Яких результатів досягла Україна після впровадження системи електронних платежів?

4. Яким вимогам повинні відповідати банківські повідомлення у формі електронних документів?

5. Які основні завдання та функції СЕП НБУ?

6. Які основні фактори визначають вимоги до кількісних та якісних показників системи?

7. Які функції належить виконувати РУНБУ, РРП, РП, ЦРП?

8. На яких головних принципах Трунтується робота СЕП?

9. Які основні обов’язки РУНБУпо відношенню до банку-унасника СЕП?

10. Яку структуру має СЕП?

11 Кого обслуговує програмно-технічний комплекс АРМ-І і які основні функції виконує?

12. Кого обслуговують програмно-технічні комплекси 4РМ-2 та, АРМ-3 і які основні операції виконує?

13. З яких компонентів складається система міжбанківських розрахунків України?

14. Яка організація роботи внутрішньобанківської ПС?

15. Як відбувається обмін платіжними документами в СЕП НБУ?

16. Для чого призначена система термінових переказів (СТП)?

17. Назвіть обоє ‘язкові і необхідні умови для підключення банку до СТП?

18. Дайте характеристику 8-ми моделям обслуговування консолідованого кореспондентського рахунку в СЕМП?

19. Що повинна забезпечувати система захисту НБУ?

20. Для чого використовують технологічний контроль у СЕМП?

21. Для чого використовують криптографічний захист інформації?

22. Які заходи потрібно вживати для інформаційної безпеки в СЕМП?

23. Яким чином здійснюється контроль за виконанням вимог щодо захисту інформації у банківських установах?



Платіжні системи – Пиріг С. О. – 5.3.3. Контроль за виконанням вимог щодо захисту інформації у банківських установах