- •Інформаційні банківські технології
- •Принципи побудови системи захисту інформації та порядок отримання і повернення засобів захисту інформації організаціями-учасниками системи електронних платежів (сеп).
- •Заходи інформаційної безпеки у системі електронних платежів (сеп).
- •13. Оператори арм бухгалтера саб, операціоністи та оператори інших робочих і технологічних місць саб та інформаційних задач, які працюють із ззі, зобов'язані:
- •Внутрішній контроль за станом інформаційної безпеки в банку.
- •1. Вимоги до інтерфейсу з арм-3 сеп
- •2. Вимоги щодо інформаційної безпеки підготовки файлів інтерфейсу з сеп в середовищі одб
- •3. Вимоги до одб щодо внутрішньої інформаційної безпеки банку
- •4. Вимоги щодо інформаційної безпеки системи "клієнт-банк"
- •Функціональні обов'язки адміністратора інформаційної безпеки банку.
- •Рекомендації нбу держателям платіжних карток щодо безпеки.
- •Комплексні системи захисту банківських інформаційних технологій та їх застосування. Загальна характеристика внутрішньобанківської платіжної системи.
- •1.1 Мета і призначення комплексної системи захисту банківських інформаційних технологій (ксз біт).
- •1.2 Загальна характеристика впс кб і умови її функціонування.
- •1.3. Вимоги до комплексної системи захисту інформації впс акб усб
- •1.4 Вимоги до комплексної системи захисту інформації у впс кб у частині захисту від витоку інформації технічними каналами
- •1.5. Вимоги до підсистеми криптографічного захисту інформації
- •Захист інформації у Засвідчувальному центрі ключів нбу.
- •Безпека передачі та опрацювання повідомлень swift.
- •Захист інформації у системах дистанційного банківського обслуговування.
- •Можливості протоколу set щодо захисту транзакцій в інтернет.
- •3. Учасники транзакцій set.
- •4. Дуальний підпис.
4. Вимоги щодо інформаційної безпеки системи "клієнт-банк"
4.1. Система "клієнт-банк" не може мати можливості безпосередньої передачі або приймання платіжних документів в АРМ-3 банку або АРМ іншого клієнта, минуючи АРМ операціоніста (бухгалтера).
4.2. Система "клієнт-банк" забезпечує механізм звірення (квитовки) файлів початкових і зворотних платежів між банком (АРМ операціоніста або бухгалтера) і АРМ клієнта, підготовку виписки про платіжні операції з клієнтом в банку протягом банківського дня та звірення цієї інформації з інформацією із АРМ клієнта наприкінці дня.
4.3. Система "клієнт-банк" забезпечує передачу повідомлень між клієнтом та банком у зашифрованому вигляді за допомогою сертифікованих засобів захисту.
4.4. Система "клієнт-банк" забезпечує автоматичне ведення протоколу (та захист цього протоколу від модифікації) передавання платіжних документів між банком і клієнтом як у банку, так і в АРМ клієнта; автоматичне архівування протоколів наприкінці дня.
4.5. АРМ клієнта системи "клієнт-банк" забезпечує механізм звірення (квитовки) зворотних платіжних документів і виписки за платіжними операціями клієнта.
4.6. АРМ клієнта системи "клієнт-банк" забезпечує накладання електронних цифрових підписів головного бухгалтера та керівника підприємства (установи) на кожному електронному платіжному дорученні клієнта; банківська частина системи "клієнт-банк" забезпечує перевірку наведених електронних підписів на кожному електронному платіжному дорученні клієнта.
4.7. АРМ клієнта забезпечує автоматичне ведення поточного стану власного рахунку в банку, враховуючи проведені початкові та зворотні платежі.
-
Функціональні обов'язки адміністратора інформаційної безпеки банку.
Адміністратор інформаційної безпеки - фахівець з питань інформаційної безпеки, призначений внутрішнім документом організації для забезпечення впровадження та підтримки роботи засобів захисту інформації Національного банку України в цій організації
Організація зобов'язана призначити відповідальних за роботу із ЗЗІ осіб (далі - відповідальна особа) та осіб, які виконуватимуть обов'язки в разі відсутності відповідальних осіб, а саме:
1) адміністратора інформаційної безпеки;
2) адміністратора АРМ-СЕП/АРМ-НБУ-інф;
3) оператора АРМ бухгалтера САБ;
4) технолога САБ;
5) операціоніста САБ;
6) операторів робочих і технологічних місць САБ та інформаційних задач.
Адміністратор інформаційної безпеки реєструє відповідальних осіб у розділі I журналу обліку адміністратора інформаційної безпеки (додаток 1).
ЖУРНАЛ обліку адміністратора інформаційної безпеки
Розділ I. Перелік відповідальних за роботу із засобами захисту інформації Національного банку України осіб:
|
№ з/п |
Прізвище, ініціали відповідальної особи |
Функціональні обов'язки |
Дата і номер документа про призначення |
Дата і номер документа про звільнення від функціональних обов'язків |
Причина звільнення |
|
1 |
2 |
3 |
4 |
5 |
6 |
Розділ II. Перелік засобів захисту інформації Національного банку України:
|
№ з/п |
Дата отримання (копіювання) |
Назва |
Дата і підпис відповідальної особи про отримання |
Дата і підпис відповідальної особи про повернення |
Примітки |
|
1 |
2 |
3 |
4 |
5 |
6 |
Призначення відповідальних осіб в АРМ-СЕП та САБ стосується тільки безпосередніх учасників СЕП.
Організація зобов'язана подавати до Департаменту інформаційної безпеки копію документа або виписку з нього в електронній або паперовій формі:
-
про призначення відповідальних осіб протягом трьох робочих днів з часу їх призначення;
-
про покладання обов'язків/звільнення від виконання відповідних обов'язків в організації, зокрема покладання інших обов'язків, адміністраторів інформаційної безпеки, адміністраторів АРМ- СЕП/АРМ-НБУ-інф і операторів АРМ бухгалтера САБ протягом трьох робочих днів із часу їх призначення/звільнення.
Адміністратор інформаційної безпеки зобов'язаний ознайомитися з нормативно-правовими актами Національного банку України (далі - Національний банк) з питань інформаційної безпеки та підписати зобов'язання адміністратора інформаційної безпеки (додаток 2).
Представник Департаменту інформаційної безпеки зобов'язаний перевірити знання адміністратором інформаційної безпеки своїх функціональних обов'язків та відповідних нормативно-правових актів Національного банку, зробити на зобов'язанні відмітку про проведення цієї перевірки і зберігати копію цього зобов'язання.
Адміністратор інформаційної безпеки має право дати дозвіл на роботу на АРМ-СЕП/АРМ-НБУ-інф, робочих і технологічних місцях САБ та інформаційних задач відповідальним особам після їх ознайомлення з нормативно-правовими актами Національного банку, іншими документами з питань інформаційної безпеки.
Адміністратор інформаційної безпеки зобов'язаний ознайомити відповідальних осіб з правилами роботи та зберігання ТК.
Відповідальна особа зобов'язана підписати відповідне зобов'язання (додаток 3).
Департамент інформаційної безпеки має право звернутися до керівника організації з пропозицією призначити нового адміністратора інформаційної безпеки в разі неналежного виконання ним своїх обов'язків.
Організація зобов'язана забезпечити відповідальних осіб особистими печатками (штампами, пломбіраторами тощо) для опечатування ЗЗІ, сейфів (для зберігання незахищених носіїв ТК) і приміщення з АРМ-СЕП/АРМ-НБУ-інф.
Адміністратор інформаційної безпеки зобов'язаний зареєструвати печатки (штампи, пломбіратори) у розділі VI журналу обліку адміністратора інформаційної безпеки (додаток 1).
Відповідальні особи не мають права передавати один одному печатки (штампи, пломбіратори) для тимчасового користування.
ФУНКЦІОНАЛЬНІ ОБОВ'ЯЗКИ ВІДПОВІДАЛЬНИХ ОСІБ
Адміністратор інформаційної безпеки зобов'язаний:
-
знати нормативно-правові акти Національного банку з питань інформаційної безпеки і використовувати їх у роботі;
-
виконувати вимоги щодо інформаційної безпеки в організації та підписати зобов'язання адміністратора інформаційної безпеки;
-
забезпечувати конфіденційність системи захисту інформації в організації;
-
отримувати ЗЗІ і проводити їх заміну в територіальному управлінні Національного банку;
-
здійснювати тестування ПМГК та брати участь у тестуванні інших ЗЗІ;
-
здійснювати листування з Департаментом інформаційної безпеки з питань інформаційної безпеки;
-
ознайомлювати відповідальних осіб організації з нормативно-правовими актами Національного банку з питань інформаційної безпеки та перевіряти знання правил використання і зберігання ТК й інших ЗЗІ;
-
забезпечувати відповідальних осіб ЗЗІ;
-
вести облік ЗЗІ і здійснювати контроль за їх прийманням-передаванням;
-
вести справу адміністратора інформаційної безпеки і забезпечувати її збереження;
-
надавати допомогу відповідальним особам в генерації ТК;
-
забезпечувати належне зберігання ЗЗІ, їх передавання іншому адміністратору інформаційної безпеки в разі двозмінної роботи або у зв'язку з тимчасовою відсутністю на роботі - відпусткою, навчанням, хворобою тощо;
-
забезпечувати відправлення на сертифікацію ВК, що потребують сертифікації;
-
вести архів ВК операціоністів;
-
здійснювати копіювання ПМГК та знищення копій ПМГК у встановленому порядку;
-
здійснювати контроль за дотриманням відповідальними особами правил інформаційної безпеки під час роботи із ЗЗІ та їх зберігання;
-
здійснювати контроль за своєчасною заміною ТК відповідальними особами;
-
здійснювати контроль за змінами ТВК у разі необхідності;
-
здійснювати контроль за правильним і своєчасним знищенням відповідальними особами ТК та їх копій;
-
забезпечувати вилучення відповідного ВК з ТВК шляхом генерації ТК на видалення в разі звільнення від обов'язків відповідальних осіб або компрометації ТК;
-
виконувати заміну криптобібліотек і ТВК у САБ та інформаційних задачах, якщо Національний банк ініціює їх заміну;
-
здійснювати перевірки відповідності приміщень з АРМ-СЕП/АРМ-НБУ-інф і сейфів, у яких зберігаються ЗЗІ, вимогам інформаційної безпеки;
-
знати експлуатаційну документацію на АРМ-СЕП/АРМ-НБУ-інф з питань роботи системи захисту інформації;
-
виконувати налаштування операційної системи комп'ютера з АРМ-СЕП/АРМ-НБУ-інф відповідно до вимог та рекомендацій Національного банку щодо усунення вразливостей операційної системи;
-
не рідше одного разу на квартал проводити планові перевірки використання ЗЗІ відповідальними особами організації;
-
під час перевірки звертати увагу на наявність ЗЗІ, ключів від сейфів, у яких зберігаються ЗЗІ, облікових даних, дотримання вимог інформаційної безпеки під час зберігання та використання ЗЗІ, обмеження доступу до приміщення з АРМ-СЕП/АРМ-НБУ-інф, знання відповідальними особами нормативно-правових актів Національного банку з питань інформаційної безпеки, правильне і своєчасне заповнення журналів обліку;
-
після закінчення перевірки зробити відповідні записи в розділі IX журналу обліку адміністратора інформаційної безпеки (додаток 1);
-
інформувати керівника організації і Департамент інформаційної безпеки про виявлені недоліки, що можуть загрожувати безпеці електронної банківської інформації;
-
брати участь (за письмовим або усним розпорядженням керівника організації) у розгляді фактів порушення правил інформаційної безпеки в організації.
ТАБЛИЦЯ суміщення функціональних обов'язків
|
№ з/п |
Функціональні обов'язки |
Адміністратор інформаційної безпеки |
Адміністратор АРМ-СЕП/ АРМ-НБУ-інф |
Оператор АРМ бухгалтера (ключ типу B) |
Оператор АРМ технолога (ключ типу A) |
Операціоніст САБ |
Оператор АРМ інформаційних задач |
Адміністратор САБ |
Відповідальний за розроблення САБ |
Адміністратор локальної мережі |
Адміністратор електронної пошти |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
|
1 |
Адміністрратор інформаційної безпеки |
- |
Х |
Х |
Х |
Х |
Х |
В |
Х |
В |
В |
|
2 |
Адміністратор АРМ-СЕП/АРМ-НБУ-інф |
Х |
- |
Х |
В |
Д |
Д |
Х |
Х |
В |
В |
|
3 |
Оператор АРМ бухгалтера (ключ типу В) |
Х |
Х |
- |
Х |
Х |
Д |
Х |
Х |
В |
В |
|
4 |
Оператор АРМ технолога (ключ типу А) |
Х |
В |
Х |
- |
Х |
Д |
Д |
Х |
В |
В |
|
5 |
Операціоніст САБ |
Х |
Д |
Х |
Х |
- |
Д |
Х |
Х |
В |
В |
|
6 |
Оператор АРМ інформаційних задач |
Х |
Д |
Д |
Д |
Д |
- |
Д |
Д |
Д |
Д |
|
7 |
Адміністратор САБ |
В |
Х |
Х |
Д |
Х |
Д |
- |
В |
Д |
Д |
|
8 |
Відповідальний за розроблення САБ |
Х |
Х |
Х |
Х |
Х |
Д |
В |
- |
Х |
Х |
|
9 |
Адміністратор локальної мережі |
В |
В |
В |
В |
В |
Д |
Д |
Х |
- |
Д |
|
10 |
Адміністратор електронної пошти |
В |
В |
В |
В |
В |
Д |
Д |
Х |
Д |
- |