- •Інформаційні банківські технології
- •Принципи побудови системи захисту інформації та порядок отримання і повернення засобів захисту інформації організаціями-учасниками системи електронних платежів (сеп).
- •Заходи інформаційної безпеки у системі електронних платежів (сеп).
- •13. Оператори арм бухгалтера саб, операціоністи та оператори інших робочих і технологічних місць саб та інформаційних задач, які працюють із ззі, зобов'язані:
- •Внутрішній контроль за станом інформаційної безпеки в банку.
- •1. Вимоги до інтерфейсу з арм-3 сеп
- •2. Вимоги щодо інформаційної безпеки підготовки файлів інтерфейсу з сеп в середовищі одб
- •3. Вимоги до одб щодо внутрішньої інформаційної безпеки банку
- •4. Вимоги щодо інформаційної безпеки системи "клієнт-банк"
- •Функціональні обов'язки адміністратора інформаційної безпеки банку.
- •Рекомендації нбу держателям платіжних карток щодо безпеки.
- •Комплексні системи захисту банківських інформаційних технологій та їх застосування. Загальна характеристика внутрішньобанківської платіжної системи.
- •1.1 Мета і призначення комплексної системи захисту банківських інформаційних технологій (ксз біт).
- •1.2 Загальна характеристика впс кб і умови її функціонування.
- •1.3. Вимоги до комплексної системи захисту інформації впс акб усб
- •1.4 Вимоги до комплексної системи захисту інформації у впс кб у частині захисту від витоку інформації технічними каналами
- •1.5. Вимоги до підсистеми криптографічного захисту інформації
- •Захист інформації у Засвідчувальному центрі ключів нбу.
- •Безпека передачі та опрацювання повідомлень swift.
- •Захист інформації у системах дистанційного банківського обслуговування.
- •Можливості протоколу set щодо захисту транзакцій в інтернет.
- •3. Учасники транзакцій set.
- •4. Дуальний підпис.
13. Оператори арм бухгалтера саб, операціоністи та оператори інших робочих і технологічних місць саб та інформаційних задач, які працюють із ззі, зобов'язані:
-
знати нормативно-правові акти Національного банку з питань інформаційної безпеки, що стосуються їх функцій, і використовувати їх у роботі;
-
забезпечувати конфіденційність відомостей про систему захисту інформації в організації;
-
забезпечувати технологічну дисципліну в роботі з програмним забезпеченням робочого місця;
-
виконувати правила використання і зберігання ЗЗІ;
-
здійснювати генерацію власних ключів;
-
здійснювати контроль за строком дії ключів і своєчасну генерацію (з урахуванням часу на сертифікацію) нових ключів;
-
зберігати власний ТК (за необхідності - його копію), у разі використання незахищеного носія ТК - в особистому сейфі (за його наявності);
-
у разі використання незахищеного носія ТК передавати в установленому порядку на зберігання (якщо немає особистого сейфа) власний ТК (і його копію) адміністратору інформаційної безпеки;
-
забезпечувати схоронність ЗЗІ під час їх використання;
-
знищувати в установленому порядку власні ТК (і їх копії);
-
вести журнал приймання-передавання таємних ключів робочих і технологічних місць (додаток 6) у разі передавання ТК робочого місця іншій відповідальній особі;
-
інформувати адміністратора інформаційної безпеки про виявлення недоліків, що можуть призвести до компрометації ЗЗІ або несанкціонованого їх використання;
-
брати участь (за письмовим або усним розпорядженням керівника організації) у розгляді фактів порушення правил інформаційної безпеки під час роботи САБ та інформаційних задач.
Організація зобов'язана дотримуватися такого порядку допуску відповідальних осіб до ЗЗІ:
-
допуск до ПМГК для роботи з ним мають лише адміністратори інформаційної безпеки;
-
допуск до роботи з АКЗІ, СК, ТК АРМ-СЕП/АРМ-НБУ-інф мають тільки адміністратори АРМ-СЕП/АРМ-НБУ-інф;
-
допуск до ТК робочих і технологічних місць САБ та інформаційних задач має відповідальна особа і тільки до власного ТК;
-
відповідальні особи виконують генерацію власних ТК за допомогою ПМГК лише в присутності адміністратора інформаційної безпеки;
-
адміністратори інформаційної безпеки виконують свої функціональні обов'язки і функції контролю під час роботи з ТВК на АРМ-СЕП/АРМ-НБУ-інф та інших робочих місцях лише в присутності відповідальних осіб.
-
Внутрішній контроль за станом інформаційної безпеки в банку.
Організація зобов'язана інформувати Департамент інформаційної безпеки впродовж одного робочого дня телефоном та протягом трьох робочих днів листом засобами системи електронної пошти Національного банку в таких випадках:
-
виконання (спроби виконання) фіктивного платіжного документа;
-
компрометація ЗЗІ;
-
пошкодження ЗЗІ;
-
несанкціоноване проникнення в приміщення з АРМ-СЕП/АРМ-НБУ-інф (пошкодження вхідних дверей, ґрат на вікнах, спрацювання сигналізації за нез'ясованих обставин тощо);
-
проведення правоохоронними органами та іншими органами державної влади перевірки діяльності організації, унаслідок якої створюються умови для компрометації ЗЗІ;
-
виникнення інших аварійних або надзвичайних ситуацій, що створюють передумови до розкрадання, втрати, пошкодження тощо ЗЗІ.
Внутрішній контроль за станом інформаційної безпеки відповідно до вимог нормативно-правових актів Національного банку в діяльності організації забезпечують:
-
керівник організації (особа, яка виконує його обов'язки);
-
заступник керівника організації або особа, яка за своїми службовими обов'язками чи за окремим внутрішнім документом організації призначена відповідальною особою за організацію інформаційної безпеки.
Адміністратор інформаційної безпеки забезпечує поточний контроль за дотриманням вимог інформаційної безпеки під час використання та зберігання ЗЗІ в організації.
Службові особи організації, які відповідають за інформаційну безпеку, зобов'язані надавати письмові або усні відомості про стан ЗЗІ та їх використання, стан захисту інформації в програмному забезпеченні САБ та інших системах, на які поширюються вимоги Національного банку щодо інформаційної безпеки, технологію оброблення електронних банківських документів в організації та систему захисту інформації під час їх оброблення на вимогу Департаменту інформаційної безпеки.
З метою підвищення надійності та безпеки внутрішньої роботи банків-учасників системи електронних платежів (СЕП) Національного банку України та відповідно до статті 54 Закону України "Про банки і банківську діяльність" ( 872-12 ) Правління
П О С Т А Н О В Л Я Є:
-
Затвердити "Вимоги Національного банку України до програмного комплексу "Операційний день банку" (ОДБ)" (додається) як нормативний документ Національного банку України.
-
Довести цей документ до усіх банків-учасників СЕП, розробників програмного забезпечення "Операційний день банку" та систем "клієнт-банк", запропонувати банкам-учасникам СЕП до 01.07.96 р. привести свої програмні комплекси ОДБ у відповідність до вимог Національного банку України щодо програмного комплексу "Операційний день банку".
Голова Правління В.А.Ющенко
Вимоги
Національного банку України до програмного комплексу "Операційний день банку" (ОДБ)"
Під ОДБ у цьому документі розуміється та частина програмного комплексу автоматизації роботи банку-учасника системи електронних платежів (СЕП) України, яка:
-
веде внутрішню базу даних, що містить інформацію про обслуговування розрахункових рахунків клієнтів, про стан коррахунку в НБУ та іншу;
-
має можливість здійснювати платіжні операції через СЕП;
-
може мати систему "клієнт-банк", як складову частину, або взаємодіяти з нею.
НБУ висуває кілька вимог, яким має відповідати наведений вище програмний комплекс (ОДБ). Дотримання цих вимог в повному обсязі повинно забезпечити:
-
систематизацію механізмів обміну платіжними документами між комерційними банками та СЕП;
-
цілісність та інформаційну безпеку стикування ОДБ з СЕП;
-
надійність сукупного функціонування ОДБ і СЕП;
-
розширення асортименту інформаційних послуг СЕП.
Вимоги до ОДБ розподіляються на такі групи:
-
Вимоги до інтерфейсу з АРМ-3 СЕП.
-
Вимоги щодо інформаційної безпеки підготовки файлів інтерфейсу з СЕП у середовищі ОДБ.
-
Вимоги до ОДБ щодо внутрішньої інформаційної безпеки банку.
-
Вимоги щодо інформаційної безпеки системи "клієнт-банк".