ПРАВЛIННЯ НАЦIОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
вiд 7 липня 2015 року | N 439 |
---|
Про внесення змiн до деяких нормативно-правових
актiв Нацiонального банку України
Вiдповiдно до статей 7, 40, 56 Закону України "Про Нацiональний банк України", постанови Правлiння Нацiонального банку України вiд 18 вересня 2014 року N 585 "Про переведення банкiв - учасникiв СЕП на обслуговування за кореспондентським рахунком до Головного управлiння Нацiонального банку України по м. Києву i Київськiй областi" Правлiння Нацiонального банку України постановляє:
1. Затвердити:
1) Змiни до Iнструкцiї про мiжбанкiвський переказ коштiв в Українi в нацiональнiй валютi, затвердженої постановою Правлiння Нацiонального банку України вiд 16 серпня 2006 року N 320, зареєстрованої в Мiнiстерствi юстицiї України 06 вересня 2006 року за N 1035/12909 (зi змiнами), що додаються;
2) Змiни до Правил органiзацiї захисту електронних банкiвських документiв з використанням засобiв захисту iнформацiї Нацiонального банку України, затверджених постановою Правлiння Нацiонального банку України вiд 02 квiтня 2007 року N 112, зареєстрованих у Мiнiстерствi юстицiї України 24 квiтня 2007 року за N 419/13686, що додаються.
2. Постанову Правлiння Нацiонального банку України вiд 16 серпня 2006 року N 320 "Про затвердження Iнструкцiї про мiжбанкiвський переказ коштiв в Українi в нацiональнiй валютi", зареєстровану в Мiнiстерствi юстицiї України 06 вересня 2006 року за N 1035/12909, пiсля пункту 1 доповнити новим пунктом 2 такого змiсту:
"2. У Нацiональному банку України вiдкриття та ведення кореспондентських рахункiв банкiв-резидентiв та фiлiй iноземних банкiв у нацiональнiй валютi України здiйснює Головне управлiння Нацiонального банку України по м. Києву i Київськiй областi".
У зв'язку з цим пункти 2 - 5 уважати вiдповiдно пунктами 3 - 6.
3. Департаменту iнформацiйної безпеки (Лук'янов Д. О.):
1) розробити та затвердити до 01 жовтня 2015 року графiк та порядок розiрвання договорiв банкiв України, їх фiлiй та небанкiвських установ (далi - органiзацiї) з територiальними управлiннями i Центральною розрахунковою палатою Нацiонального банку України про використання криптографiчних засобiв захисту iнформацiї в системi електронних платежiв Нацiонального банку України та iнформацiйних задачах Нацiонального банку України (далi - Договори) та з укладання зазначених Договорiв органiзацiй з Департаментом iнформацiйної безпеки;
2) розробити та впровадити до 01 сiчня 2016 року комплекс заходiв щодо забезпечення органiзацiй засобами криптографiчного захисту iнформацiї Нацiонального банку України;
3) переукласти Договори до 01 сiчня 2016 року.
4. Територiальним управлiнням, Центральнiй розрахунковiй палатi Нацiонального банку України (Годiк М. М.) забезпечити виконання Договорiв до моменту переукладання Договорiв та передачi функцiй з їх реалiзацiї Департаментом iнформацiйної безпеки.
5. Департаменту iнформацiйної безпеки (Лук'янов Д. О.) довести змiст цiєї постанови до вiдома Центральної розрахункової палати Нацiонального банку України, банкiв України, їх фiлiй, органiв Державної казначейської служби України, iнших органiв державної влади, небанкiвських установ, якi використовують засоби захисту iнформацiї Нацiонального банку України, для застосування в роботi.
6. Контроль за виконанням цiєї постанови покласти на заступника Голови Нацiонального банку України Смолiя Я. В.
7. Постанова набирає чинностi з дня, наступного за днем її офiцiйного опублiкування.
Голова | В. О. Гонтарева |
ЗАТВЕРДЖЕНО Постанова Правлiння Нацiонального банку України 07 липня 2015 року N 439 |
Змiни до Iнструкцiї про мiжбанкiвський переказ коштiв в Українi в нацiональнiй валютi
1. У пунктi 1 глави 1 роздiлу I:
в абзацi другому слово "(фiлiй)" виключити;
в абзацi шiстнадцятому слова "фiлiй (або певної кiлькостi фiлiй) у разi роботи банку (фiлiї)" замiнити словами "фiлiй для роботи банку";
в абзацi двадцять дев'ятому слово "(фiлiй)" виключити;
абзац тридцять третiй викласти в такiй редакцiї:
"система захисту електронних банкiвських документiв - сукупнiсть методiв та засобiв, що включає апаратно-програмнi, програмнi засоби захисту, ключову iнформацiю та систему розподiлу ключової iнформацiї, технологiчнi засоби контролю та органiзацiйнi заходи щодо захисту iнформацiї";
в абзацi тридцять шостому слова "Операцiйне управлiння" замiнити словами "Операцiйний департамент".
2. У роздiлi II:
1) у главi 1:
пункт 1 викласти в такiй редакцiї:
"1. Територiальне управлiння вiдкриває кореспондентський рахунок банку на пiдставi укладеного договору про кореспондентський рахунок у Нацiональному банку України (додаток 1) та за умови подання правильно оформлених документiв, зазначених у пунктi 2 цiєї глави";
в абзацi першому пункту 2 слова "за мiсцезнаходженням банку" виключити;
пункт 3 виключити.
У зв'язку з цим пункти 4 - 10 уважати вiдповiдно пунктами 3 - 9;
у пунктi 3 слово "(фiлiї)" виключити;
пункт 4 виключити.
У зв'язку з цим пункти 5 - 9 уважати вiдповiдно пунктами 4 - 8;
пункт 5 виключити.
У зв'язку з цим пункти 6 - 8 уважати вiдповiдно пунктами 5 - 7;
у пунктi 5:
у пiдпунктах "а" - "г", "д" слово "(фiлiя)" у всiх вiдмiнках виключити;
у пiдпунктi "ґ" слова "(фiлiї), що має мiстити код за ЄДРПОУ" виключити;
у пунктi 6 слова "а також у зв'язку з взаємним обмiном банком та його фiлiєю мiсцезнаходження та пов'язаною з цим змiною обслуговуючих їх територiальних управлiнь банк (фiлiя)" замiнити словом "банк";
у пунктi 7 слово "(фiлiї)" виключити;
2) у главi 2:
у назвi глави та пунктi 1 слово "(фiлiї)" виключити;
у пунктi 3:
у першому реченнi слова "не пiзнiше наступного робочого дня з дня закриття кореспондентського рахунку, уключаючи день закриття, зобов'язане" замiнити словами "у день закриття кореспондентського рахунку зобов'язане";
у третьому реченнi слово "(фiлiї)" виключити;
у пунктi 4 слово "(фiлiї)" виключити;
3) у главi 4:
пiдпункт "б" пункту 1 викласти в такiй редакцiї:
"б) укладення з Нацiональним банком договорiв:
про розрахунково-iнформацiйне обслуговування в системi електронних платежiв Нацiонального банку України та надання послуг системою електронної пошти Нацiонального банку України (додаток 5);
про використання засобiв захисту iнформацiї в системi електронних платежiв Нацiонального банку України вiдповiдно до нормативно-правового акта Нацiонального банку щодо органiзацiї захисту електронних банкiвських документiв";
в абзацi першому пункту 5 слова "за своїм мiсцезнаходженням" замiнити словами "за мiсцем вiдкриття кореспондентського рахунку банку";
пункт 6 викласти в такiй редакцiї:
"6. Територiальне управлiння за мiсцем вiдкриття кореспондентського рахунку банку пiсля отримання повiдомлення вiд банку (фiлiї) зобов'язане надiслати його до ЦРП засобами системи ЕП за два робочих днi до набрання чинностi змiнами.
Територiальне управлiння за мiсцем вiдкриття кореспондентського рахунку банку iнформує засобами системи ЕП регiональний пiдроздiл Департаменту iнформацiйної безпеки Нацiонального банку за мiсцезнаходженням банку (фiлiї) про iнiцiювання банком (фiлiєю) внесення iнформацiї до Довiдника учасникiв СЕП";
у пунктi 7:
слова "отриманими вiд територiальних управлiнь повiдомленнями" замiнити словами "отриманим вiд територiального управлiння за мiсцем вiдкриття кореспондентського рахунку банку повiдомленням";
доповнити пункт новим абзацом такого змiсту:
"ЦРП вносить iнформацiю до Довiдника учасникiв СЕП щодо включення нового учасникам СЕП (безпосереднього) або змiни iдентифiкатора учасника СЕП (безпосереднього) за умови, що цей учасник надiслав вiдкритi ключi АРМ-СЕП на сертифiкацiю до 13 години дня, що передує дню внесення iнформацiї до Довiдника учасникiв СЕП";
у пунктi 8:
у першому реченнi слова "(фiлiї)" та "АРМ-СЕП вiдповiдного" виключити;
у другому реченнi слова "учасник СЕП" замiнити словом "банк";
у третьому реченнi пункту 10 слова "за мiсцезнаходженням банку (фiлiї)" замiнити словами "за мiсцем вiдкриття кореспондентського рахунку банку";
у пунктi 11:
в абзацi першому:
у першому реченнi слова "(фiлiї), що має кореспондентський рахунок" виключити;
у другому реченнi слово "(фiлiя)" виключити;
абзац другий викласти в такiй редакцiї:
"Якщо банк не виконав цю вимогу, то ЦРП наприкiнцi останнього робочого дня банку в СЕП пiсля виконання вимог пункту 10 цiєї глави має повiдомити про це територiальне управлiння. Територiальне управлiння, отримавши повiдомлення ЦРП, зобов'язане здiйснити списання засобами СЕП суми коштiв банку, що дорiвнює залишку на його технiчному рахунку, i перерахувати її на рахунок, визначений згiдно з пунктом 2 глави 2 цього роздiлу";
4) у главi 5:
у пунктi 3 слово "(фiлiї)" виключити;
у пунктi 5 слова "роздiлу X цiєї Iнструкцiї" замiнити словами "нормативно-правового акта Нацiонального банку щодо органiзацiї захисту електронних банкiвських документiв";
5) у главi 6:
у першому реченнi пункту 1 слова "територiальних управлiнь" замiнити словами "територiального управлiння";
у пунктi 8 слово "вiдповiдного" виключити;
6) у пунктi 2 глави 7 слово "(фiлiї)" виключити;
7) у главi 8: у пунктi 2:
в абзацi першому слова "за його мiсцезнаходженням" виключити; в абзацi другому слова "кореспондентських рахункiв у територiальних управлiннях i" виключити;
в абзацi першому пункту 3:
у першому реченнi слова "за його мiсцезнаходженням" виключити;
у другому реченнi слова "не можуть мати кореспондентських рахункiв у територiальних управлiннях, але" виключити;
в абзацi першому пункту 4:
у першому реченнi слова "за його мiсцезнаходженням" виключити;
у другому реченнi слова "не можуть мати кореспондентських рахункiв у територiальних управлiннях, але" виключити;
в абзацi першому пункту 5:
у першому реченнi слова "за його мiсцезнаходженням" виключити;
у другому реченнi слова "не можуть мати кореспондентських рахункiв у територiальних управлiннях, але" виключити;
пункт 6 виключити;
8) у главi 9:
пункт 5 виключити.
У зв'язку з цим пункти 6 - 17 уважати вiдповiдно пунктами 5 - 16;
у пунктi 5:
в абзацi першому цифру "5" замiнити цифрою "4";
в абзацi другому слова "за мiсцезнаходженням банку" замiнити словами "за мiсцем вiдкриття кореспондентського рахунку банку";
у пунктi 6 цифру "6" замiнити цифрою "5";
перше речення абзацу першого пункту 7 викласти в такiй редакцiї:
"7. Банк узгоджує з територiальним управлiнням за мiсцем вiдкриття кореспондентського рахунку банку дату переходу на роботу в СЕП за вiдповiдної моделлю, про що територiальне управлiння робить вiдмiтку в дозволi";
у пунктi 8:
абзац третiй викласти в такiй редакцiї:
"повiдомляє фiлiї про потребу протягом трьох робочих днiв укласти/розiрвати або (за потреби) внести змiни до договорiв про розрахунково-iнформацiйне обслуговування в системi електронних платежiв Нацiонального банку України та надання послуг системою електронної пошти Нацiонального банку України, а також про використання засобiв захисту iнформацiї в системi електронних платежiв Нацiонального банку України";
доповнити пункт новим абзацом такого змiсту:
"Банк та його фiлiї мають iнiцiювати внесення вiдповiдної iнформацiї до Довiдника учасникiв СЕП";
пункт 9 виключити.
У зв'язку з цим пункти 10 - 16 уважати вiдповiдно пунктами 9 - 15;
у пунктах 10 i 11 цифру "5" замiнити цифрою "4";
пункти 12, 13 виключити.
У зв'язку з цим пункти 14, 15 уважати вiдповiдно пунктами 12, 13;
у пунктi 13:
абзац перший викласти в такiй редакцiї:
"13. У разi закриття банком усiх фiлiй дозвiл на роботу в СЕП за вiдповiдною моделлю втрачає чиннiсть";
в абзацi другому слова "надiслати до територiального управлiння за своїм мiсцезнаходженням повiдомлення про внесення змiн" замiнити словами "iнiцiювати внесення вiдповiдної iнформацiї";
9) у главi 10:
пункт 1 викласти в такiй редакцiї:
"1. Нацiональний банк може бути iнiцiатором переведення банку на обслуговування за кореспондентським рахунком до iншого територiального управлiння (далi - переведення) вiдповiдно до постанови Правлiння Нацiонального банку про змiну територiального управлiння, що обслуговує банк";
у пунктi 2 слова "Iнiцiатор переведення узгоджує дату переведення з Нацiональним банком або банком" замiнити словами "Нацiональний банк узгоджує дату переведення з банком";
у пунктi 3:
у пiдпунктi "а":
абзац другий викласти в такiй редакцiї:
"до територiального управлiння 1 - заяву про закриття кореспондентського рахунку в Нацiональному банку";
друге речення абзацу третього виключити;
в абзацi третьому пiдпункту "б" слова "(у разi переведення за iнiцiативою Нацiонального банку)" виключити;
пiдпункт "в" доповнити новим абзацом такого змiсту:
"укладає договiр з банком про кореспондентський рахунок у Нацiональному банку України";
пiдпункт "г" виключити.
3. В абзацi першому пункту 5 глави 3 роздiлу IV слова "територiальних управлiннях iз застосуванням" замiнити словами "територiальному управлiннi, iз застосуванням".
4. У роздiлi VI:
1) у назвi роздiлу слово "(фiлiї)" виключити;
2) у главi 1:
у назвi глави слово "(фiлiї)" виключити;
у пунктi 1 слова "фiлiї (далi - банк)" виключити;
3) у главi 2:
у назвi глави слово "(фiлiї)" виключити;
у пунктi 1 слова "фiлiї (далi - банк)" виключити;
пункт 9 пiсля пiдпункту "б" доповнити новим пiдпунктом "в" такого змiсту:
"в) повiдомляє ЦРП засобами системи ЕП про скасування зупинення власних видаткових операцiй банку в СЕП".
У зв'язку з цим пiдпункт "в" уважати пiдпунктом "г";
4) у главi 3:
у назвi глави слово "(фiлiї)" виключити;
у пунктi 1:
в абзацах першому - третьому слово "(фiлiя)" у всiх вiдмiнках виключити;
абзац п'ятий виключити;
пункт 2 викласти в такiй редакцiї:
"2. Вiдновлення власних видаткових операцiй банку за його кореспондентським рахунком здiйснюється вiдповiдно до законодавства України i забезпечується ЦРП на пiдставi повiдомлення територiального управлiння про скасування зупинення власних видаткових операцiй банку в СЕП";
5) у главi 4:
у назвi глави слово "(фiлiї)" виключити;
в абзацi першому пункту 1:
слова "фiлiї (далi - банк)" виключити;
слова "про регулювання" замiнити словами "з питань надання кредитiв для пiдтримки";
у пунктi 4:
абзац четвертий замiнити двома новими абзацами четвертим та п'ятим такого змiсту:
"Лiмiт установлюється в режимi реального часу (пакет-запит) або у файловому режимi (файл L).
Територiальне управлiння здiйснює списання пiсля отримання вiд ЦОСЕП iнформацiї про встановлення лiмiту технiчного рахунку банку".
У зв'язку з цим абзаци п'ятий - чотирнадцятий уважати вiдповiдно абзацами шостим - п'ятнадцятим;
в абзацах дев'ятому та дванадцятому слова "на визначену суму списання" замiнити словами "на фактично списану суму";
абзаци тринадцятий - п'ятнадцятий виключити.
5. У главi 2 роздiлу VII:
в абзацi першому пункту 2 слова "за мiсцезнаходженням фiлiї iноземного банку" виключити;
перше речення пункту 5 викласти в такiй редакцiї:
"5. Фiлiя iноземного банку в разi змiни свого найменування зобов'язана подати до територiального управлiння такi самi документи, що i пiд час вiдкриття рахунку, а також унести змiни до договору про кореспондентський рахунок у Нацiональному банку України або укласти новий договiр";
у пунктi 6 слово та цифру "пунктом 8" замiнити словом та цифрою "пунктом 5";
у пунктi 9:
слово та цифру "пункту 1" виключити;
слово та цифри "роздiлiв IX, X" замiнити словом та цифрою "роздiлу IX".
6. У главi 1 роздiлу VIII:
пункт 1 викласти в такiй редакцiї:
"1. Для роботи в СЕП iншi установи укладають з Нацiональним банком договори:
про розрахунково-iнформацiйне обслуговування в системi електронних платежiв Нацiонального банку України та надання послуг системою електронної пошти Нацiонального банку України, зразок якого наведений у додатку 5 до цiєї Iнструкцiї. Сторони можуть змiнювати передбаченi цим зразком договору умови, а також установлювати iншi умови, якщо це не суперечить законодавству;
про використання засобiв захисту iнформацiї в системi електронних платежiв Нацiонального банку України вiдповiдно до нормативно-правового акта Нацiонального банку щодо органiзацiї захисту електронних банкiвських документiв";
у пунктi 2 слово та цифру "та X" виключити.
7. У роздiлi IX:
1) у пунктах 1, 4, 5 глави 1 та в пунктi 4 глави 2 слова "Управлiння iнформацiйної безпеки" в усiх вiдмiнках замiнити словами "Департамент iнформацiйної безпеки" у вiдповiдних вiдмiнках;
2) в абзацi першому пункту 2 глави 3 слова "програмно-апаратнi засоби криптографiчного захисту iнформацiї" замiнити словами "апаратно-програмнi засоби захисту iнформацiї";
3) у главi 6:
у пунктi 1 слова "апаратних засобiв криптографiчного захисту iнформацiї СЕП" замiнити словами "апаратно-програмних засобiв захисту iнформацiї";
у першому реченнi пункту 2 та першому реченнi пункту 3 слово "апаратних" замiнити словом "апаратно-програмних";
у першому реченнi пункту 4 слова "апаратними засобами криптографiчного захисту" замiнити словами "апаратно-програмними засобами захисту iнформацiї";
4) у главi 7:
пункт 1 виключити.
У зв'язку з цим пункти 2 - 6 уважати вiдповiдно пунктами 1 - 5;
у пунктi 1 слова "i вжити заходiв для створення резервних копiй службових файлiв ключової iнформацiї АРМ-СЕП, файлiв конфiгурацiї та допомiжних файлiв" замiнити словами "з актуальними таблицями вiдкритих ключiв, файлами конфiгурацiї та допомiжними файлами";
в абзацi третьому пункту 2 слова "Управлiння iнформацiйної безпеки" замiнити словами "регiональний пiдроздiл Департаменту iнформацiйної безпеки Нацiонального банку за своїм мiсцезнаходженням".
8. Роздiл X виключити.
9. У додатках до Iнструкцiї:
1) у додатку 1:
у преамбулi слова "(найменування фiлiї, якщо договiр укладає фiлiя)" виключити;
абзаци п'ятий - сьомий пункту 2.1 замiнити одним новим абзацом такого змiсту:
"здiйснювати договiрне списання коштiв з кореспондентського рахунку Замовника в разi ненадходження вiд Замовника (або його фiлiї) оплати за виконанi Виконавцем роботи та наданi послуги в сумi та в строк, що обумовленi в цьому договорi та/або договорах1 про розрахунково-iнформацiйне обслуговування в системi електронних платежiв Нацiонального банку України та надання послуг системою електронної пошти Нацiонального банку України вiд ____________ N _____; про використання засобiв захисту iнформацiї в системi електронних платежiв Нацiонального банку України вiд ____________ N ________.
____________
1 Якщо договори
укладаються неодночасно або Замовник працює за
вiдповiдною моделлю обслуговування
консолiдованого кореспондентського рахунку, то з
метою зазначення реквiзитiв договорiв, за якими
має здiйснюватися договiрне списання коштiв,
потрiбно укласти додатковi договори";
абзаци восьмий - десятий пункту 2.4 викласти в такiй редакцiї:
"нести вiдповiдальнiсть перед Виконавцем за зобов'язаннями фiлiй згiдно з умовами договорiв щодо:
розрахунково-iнформацiйного обслуговування в системi електронних платежiв Нацiонального банку України та надання послуг системою електронної пошти Нацiонального банку України;
використання засобiв захисту iнформацiї в системi електронних платежiв Нацiонального банку України";
2) у додатку 2 слова "банку/фiлiї" замiнити словом "банку";
3) у додатку 3:
слова "банку/фiлiї" замiнити словом "банку";
у виносцi 1 цифру "8" замiнити цифрою "5";
4) у додатку 4:
слова "банку/фiлiї" замiнити словом "банку";
слова "або фiлiї" виключити;
5) у додатку 5:
в абзацi шостому пункту 2.1 слово "(фiлiї)" виключити;
абзац дев'ятнадцятий пункту 2.4 викласти в такiй редакцiї:
"у разi лiквiдацiї банку забезпечувати його повноцiнну роботу згiдно з дiючою технологiєю до часу закриття кореспондентського рахунку";
у пунктi 3.3 слово "(фiлiї)" виключити;
6) додаток 6 виключити;
У зв'язку з цим додатки 7 - 10 уважати вiдповiдно додатками 6 - 9.
У текстi Iнструкцiї посилання на додатки 7 - 10 замiнити посиланнями вiдповiдно на додатки 6 - 9;
7) додаток 6 викласти в такiй редакцiї:
"Додаток 6 до Iнструкцiї про мiжбанкiвський переказ коштiв в Українi в нацiональнiй валютi (пункт 5 глави 4 роздiлу II) |
ЕЛЕКТРОННЕ ПОВIДОМЛЕННЯ
[найменування банку (фiлiї)] | (найменування територiального управлiння Нацiонального банку України) |
Повiдомлення
про внесення iнформацiї до Довiдника учасникiв СЕП
(зразок)
Згiдно з _____________________ включити/виключити/унести змiни до списку учасникiв СЕП.
Назва учасника СЕП | Код банку - учасника СЕП | Код валюти | Iдентифiкатор у СЕП | Адреса в системi ЕП | Код банку - юридичної особи | N моделi | Код банку - власника кореспондентського рахунку | Режим реального часу | Дата внесення змiн | |
початковi платежi | вiдповiднi платежi | |||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |
Керiвник банку (фiлiї) | |
(iнiцiали, прiзвище) |
Виконавець | ||
(прiзвище, iнiцiали) | ||
N телефону |
Примiтки:
У колонцi 7 зазначається одне з таких значень:
" " - не працює за моделлю;
"C" - банк, що працює за моделлю 3;
"3" - фiлiя, що працює за моделлю 3;
"D" - банк, що працює за моделлю 4;
"4" - фiлiя, що працює за моделлю 4;
"G" - банк, що працює за моделлю 7;
"7" - фiлiя, що працює за моделлю 7;
"H" - банк, що працює за моделлю 8;
"8" - фiлiя, що працює за моделлю 8.
У колонцi 8 зазначається реквiзит "код банку" власника консолiдованого кореспондентського рахунку, якому вiдкрито цей рахунок у територiальному управлiннi. Якщо банк працює в СЕП без використання моделi, то в цiй графi зазначається "0".
У колонцi 9 зазначається одне з таких значень:
"N" - учасник СЕП не працює в режимi реального часу;
"3" - фiлiя - учасник СЕП працює через ВМПС;
" " - обмежень немає.
У колонцi 10 зазначається одне з таких значень:
"3" - фiлiя - учасник СЕП працює через ВМПС;
" " - обмежень немає;
"X" - заборонено вiдповiднi платежi в режимi реального часу.
У колонцi 11 зазначається дата, з якої внесенi змiни набирають чинностi.
Повiдомлення надсилається банком (фiлiєю) на електронну адресу територiального управлiння.
Територiальне управлiння надсилає повiдомлення на електронну адресу Центральної розрахункової палати (V32RPAL@U1HO) у файлi формату MS WORD з iменем Zxmmddnn.RTF, де x - лiтера, що позначає територiальне управлiння Нацiонального банку України; mm - поточний мiсяць; dd - день мiсяця; nn - порядковий номер".
Директор Департаменту платiжних систем | Н. Г. Лапко |
ПОГОДЖЕНО: | |
Заступник Голови Нацiонального банку України | Я. В. Смолiй |
ЗАТВЕРДЖЕНО Постанова Правлiння Нацiонального банку України 7 липня 2015 року N 439 |
Змiни до Правил
органiзацiї захисту електронних банкiвських
документiв з використанням засобiв захисту
iнформацiї Нацiонального банку України
1. У главi 1:
1) у пунктi 1.2:
абзац п'ятий виключити.
У зв'язку з цим абзаци шостий - дев'ятнадцятий уважати вiдповiдно абзацами п'ятим - вiсiмнадцятим;
абзац одинадцятий викласти в такiй редакцiї:
"iнформацiйнi задачi - програмно-технiчнi комплекси автоматизацiї банкiвської дiяльностi, якi забезпечують оброблення та передавання iнформацiї, що не належить до платiжної та технологiчної iнформацiї СЕП, з використанням засобiв захисту iнформацiї Нацiонального банку мiж банками України, їх фiлiями, Нацiональним банком, органами державної влади i небанкiвськими органiзацiями";
абзац шiстнадцятий доповнити словами "Нацiонального банку";
доповнити пункт новими термiнами такого змiсту (з урахуванням алфавiтного порядку):
"регiональний пiдроздiл Департаменту iнформацiйної безпеки - структурний пiдроздiл Департаменту iнформацiйної безпеки, працiвники якого мають робочi мiсця в територiальних управлiннях Нацiонального банку за мiсцем розташування органiзацiї;
система захисту iнформацiї Нацiонального банку (далi - система захисту) - сукупнiсть методiв i засобiв, що включає апаратно-програмнi, програмнi засоби захисту, ключову iнформацiю та систему розподiлу ключової iнформацiї, технологiчнi засоби контролю та органiзацiйнi заходи;
сувора автентифiкацiя - iдентифiкацiя кожного користувача за ознакою володiння своїм секретним ключем";
доповнити пункт новим абзацом такого змiсту:
"Iншi термiни та скорочення, що вживаються в цих Правилах, використовуються в значеннях, визначених Iнструкцiєю про мiжбанкiвський переказ коштiв в Українi в нацiональнiй валютi, затвердженою постановою Правлiння Нацiонального банку України вiд 16 серпня 2006 року N 320, зареєстрованою в Мiнiстерствi юстицiї України 06 вересня 2006 року за N 1035/12909 (зi змiнами)";
2) пункти 1.4, 1.5 викласти в такiй редакцiї:
"1.4. Органiзацiї отримують засоби захисту для використання в СЕП незалежно вiд моделi обслуговування консолiдованого кореспондентського рахунку в СЕП та/або iнформацiйних задачах Нацiонального банку та вирiшують усi поточнi питання роботи iз засобами захисту iнформацiї Нацiонального банку в регiональних пiдроздiлах Департаменту iнформацiйної безпеки за мiсцем їх розташування.
1.5. Регiональний пiдроздiл Департаменту iнформацiйної безпеки надає органiзацiям засоби захисту, що використовуються в СЕП та/або iнформацiйних задачах, на пiдставi договору про використання засобiв захисту iнформацiї в системi електронних платежiв Нацiонального банку України або договору про використання засобiв захисту iнформацiї Нацiонального банку України в iнформацiйних задачах мiж органiзацiєю та Департаментом iнформацiйної безпеки.
Департамент iнформацiйної безпеки через свої регiональнi пiдроздiли та органiзацiя укладають мiж собою вищезазначенi договори вiдповiдно до зразкiв, викладених у додатках 1 i 13 до цих Правил.
Органiзацiї, якi є безпосереднiми учасниками СЕП, не укладають договiр про використання засобiв захисту в iнформацiйних задачах, але в цьому випадку регiональний пiдроздiл Департаменту iнформацiйної безпеки надає органiзацiї програмне забезпечення АРМ-НБУ iз супровiдним листом, один примiрник якого зберiгається в регiональному пiдроздiлi Департаменту iнформацiйної безпеки Нацiонального банку, другий - у справi N 1 адмiнiстратора захисту iнформацiї органiзацiї".
2. У главi 2:
1) пункти 2.1, 2.2 викласти в такiй редакцiї:
"2.1. Система захисту охоплює всi етапи розроблення, впровадження та експлуатацiї програмно-технiчних комплексiв СЕП та iнформацiйних задач i визначає чiткий розподiл вiдповiдальностi на кожному етапi пiдготовки, оброблення та виконання електронних банкiвських документiв на всiх рiвнях.
2.2. Система захисту разом з програмно-технiчними комплексами забезпечує:
захист вiд несанкцiонованої модифiкацiї та несанкцiонованого ознайомлення зi змiстом електронних банкiвських документiв на будь-якому етапi їх оброблення;
автоматичне ведення захищеного вiд несанкцiонованої модифiкацiї протоколу оброблення електронних банкiвських документiв з метою визначення причин появи порушень роботи програмно-технiчних комплексiв;
захист вiд втручання працiвникiв органiзацiй i Нацiонального банку у змiст електронних банкiвських документiв пiсля їх формування та захист вiд несанкцiонованого втручання в їх оброблення;
автоматичний контроль на кожному етапi оброблення електронних банкiвських документiв";
2) у пунктi 2.3 слова "територiального управлiння/Центральної розрахункової палати Нацiонального банку" замiнити словами "Департаменту iнформацiйної безпеки або його регiональних пiдроздiлiв".
3. У пунктi 3.15 глави 3:
в абзацi першому слова "яке надало/яка надала" замiнити словами "який надав", абревiатуру "АРМ-СЕП" замiнити абревiатурою "АРМ-СЕП/АРМ-НБУ";
абзац другий викласти в такiй редакцiї:
"Департамент iнформацiйної безпеки зобов'язаний органiзувати перевiрку виконання режимних вимог до примiщень протягом п'яти робочих днiв iз дня надходження цього повiдомлення зi складанням вiдповiдної довiдки".
4. У главi 4:
1) пункти 4.1, 4.2 викласти в такiй редакцiї:
"4.1. Система захисту iнформацiї Нацiонального банку створена для забезпечення конфiденцiйностi та цiлiсностi електронної iнформацiї, а також суворої автентифiкацiї учасникiв СЕП, учасникiв iнформацiйних задач i фахiвцiв органiзацiй, якi беруть участь у пiдготовцi й обробленнi електронних документiв.
Для здiйснення суворої автентифiкацiї органiзацiї застосовується система iдентифiкацiї користувачiв, яка є основою системи розподiлу ключової iнформацiї.
Органiзацiя для забезпечення захисту iнформацiї має трибайтний унiкальний iдентифiкатор, перший знак якого є лiтерою вiдповiдної територiї, на якiй вiн розташований, другий i третiй є унiкальними iдентифiкаторами органiзацiї у межах цiєї територiї.
Трибайтний iдентифiкатор має бути узгоджений з адресою системи ЕП i бути унiкальним для кожної органiзацiї. Трибайтний iдентифiкатор органiзацiї записується в ПМГК та АКЗI, який надається органiзацiї та не може бути нею змiнений, що забезпечує захист вiд пiдроблення ключової iнформацiї вiд iменi iншої органiзацiї.
Трибайтний iдентифiкатор органiзацiї є складовою частиною iдентифiкатора ключа криптографiчного захисту, що складається iз шести символiв, з яких першi три є iдентифiкаторами органiзацiї, четвертий визначає тип робочого мiсця учасника СЕП (операцiонiст, бухгалтер тощо) або тип iнформацiйної задачi, п'ятий i шостий - iдентифiкатор робочого мiсця або вiдповiдальної особи";
4.2. Для забезпечення захисту iнформацiї вiд модифiкацiї з одночасною суворою автентифiкацiєю та безперервного захисту електронних банкiвських документiв з часу їх формування система захисту СЕП уключає механiзми формування (перевiрки) ЕЦП на базi несиметричних алгоритмiв RSA та ДСТУ 4145-2002";
2) у пiдпунктi "а" пункту 4.9 слова "апаратнi засоби захисту" замiнити словами "апаратно-програмнi засоби захисту";
3) пункти 4.10, 4.14 викласти в такiй редакцiї:
"4.10. Основними засобами в АРМ-СЕП є АКЗI.
Генерацiя ключової пари (ТК та ВК) для АКЗI вiдповiдно до алгоритму ДСТУ 4145-2002 здiйснюється на комп'ютерi, де розмiщується АРМ-СЕП, за допомогою програмного забезпечення керування АКЗI, що вбудоване в АРМ-СЕП. Для забезпечення безперебiйної роботи АРМ-СЕП з апаратурою захисту ТК повинен записуватися на двi смарт-картки (основну та резервну). Ключова iнформацiя пiд час роботи АКЗI використовується виключно на рiвнi смарт-картки, що унеможливлює пiдроблення та перехоплення ключової iнформацiї.
Адмiнiстратор АРМ-СЕП зобов'язаний здiйснити перехiд до роботи з програмними засобами захисту в разi виходу з ладу АКЗI".
"4.14. За допомогою ПМГК органiзацiя має змогу генерувати ключову пару (ТК та ВК) вiдповiдно до алгоритму RSA для всiх робочих мiсць, де працюють з електронними банкiвськими документами. Кожен ТК робочого мiсця обов'язково має бути захищений особистим паролем вiдповiдальної особи, яка працює з цим ключем.
Для забезпечення захисту ключової iнформацiї вiд несанкцiонованої модифiкацiї ВК мають надсилатися до Департаменту iнформацiйної безпеки для сертифiкацiї (крiм ВК для робочих мiсць операцiонiстiв, що використовуються лише в САБ).
Департамент iнформацiйної безпеки здiйснює сертифiкацiю ВК та надсилає засобами системи ЕП на адресу органiзацiї вiдповiднi сертифiкати ВК. Органiзацiя зобов'язана вжити заходiв щодо своєчасного оновлення ТВК вiдповiдно до експлуатацiйної документацiї для АРМ-СЕП та iнформацiйних задач";
4) у пунктi 4.15 слова "порядок їх зберiгання та використання" замiнити словами "порядок зберiгання та використання ПМГК";
5) у колонцi 3 рядка 10 таблицi пункту 4.16 слово "iнформатизацiї" замiнити словами "iнформацiйних технологiй";
6) в абзацi першому пункту 4.17 слова "з яким/якою укладено договiр про використання криптографiчних засобiв захисту iнформацiї в системi електронних платежiв/iнформацiйних задачах Нацiонального банку" замiнити словами "за мiсцезнаходженням органiзацiї".
5. Пiсля глави 4 доповнити Правила новою главою 5 такого змiсту:
"Глава 5. Особливостi захисту iнформацiї в СЕП
5.1. Для пiдвищення ступеня захисту електронних банкiвських документiв у СЕП використовується технологiчний контроль, який реалiзовується програмно-технiчними комплексами на всiх рiвнях їх оброблення, що дає змогу контролювати здiйснення розрахункiв протягом банкiвського дня, а також виконувати їх звiрку в кiнцi банкiвського дня.
Технологiчнi засоби контролю включають:
механiзм обмiну електронними пiдтвердженнями, який дає змогу однозначно iдентифiкувати отримання адресатом будь-якого файла або пакета електронних банкiвських документiв у СЕП;
механiзм iнформування банку - учасника СЕП щодо поточного стану його кореспондентського рахунку за пiдсумками циклiв оброблення платежiв у ЦОСЕП, щодо поточного стану його технiчного рахунку;
взаємообмiн мiж банком i ЦОСЕП технологiчною iнформацiєю за пiдсумками банкiвського дня з перелiком вiдображених за технiчним рахунком мiжбанкiвських електронних розрахункових документiв, що обробленi засобами СЕП у файловому режимi та режимi реального часу, що дає змогу здiйснювати їх програмне звiряння як у ЦОСЕП, так i в банку;
засоби самодiагностики, якi дають змогу виявляти порушення цiлiсностi баз даних програмного забезпечення ЦОСЕП, псування яких може виникнути внаслiдок порушень функцiонування СЕП, спроб несанкцiонованого доступу або фiзичного псування баз даних;
механiзм резервування та вiдновлення з процедурами контролю цiлiсностi та актуальностi iнформацiї пiд час вiдновлення роботи ЦОСЕП;
технологiчну iнформацiю ЦОСЕП про стан технiчних рахункiв i функцiонування СЕП за пiдсумками банкiвського дня.
Технологiчнi засоби контролю, вбудованi в програмно-технiчнi комплекси СЕП, не можуть бути вiдключенi. У разi виникнення нестандартної ситуацiї або пiдозри щодо несанкцiонованого доступу ЦОСЕП автоматично формує повiдомлення для оперативного реагування адмiнiстратором ЦОСЕП.
5.2. Основним засобом шифрування файлiв (пакетiв) СЕП є АКЗI. Робота АКЗI контролюється вбудованими в ЦОСЕП i АРМ-СЕП програмними засобами захисту iнформацiї i забезпечує апаратне шифрування (розшифрування) iнформацiї за стандартом ДСТУ ГОСТ 28147:2009.
Як резервний засiб шифрування в СЕП використовується вбудована в ЦОСЕП i АРМ-СЕП функцiя програмного шифрування. Для кожного файла (пакета) СЕП, що обробляється АРМ-СЕП, генерується одноразовий ключ шифрування для алгоритму ДСТУ ГОСТ 28147:2009, який обробляється вiдповiдно до стандарту ISO 11166-94 i додається до повiдомлення в зашифрованому виглядi.
Засоби шифрування ЦОСЕП i АРМ-СЕП (як АКЗI, так i програмне шифрування) забезпечують сувору автентифiкацiю вiдправника та отримувача електронного банкiвського документа, цiлiснiсть кожного документа в результатi неможливостi його пiдроблення або несанкцiонованого модифiкування в шифрованому виглядi та унеможливлюють виконання розшифрування повiдомлення будь-ким, крiм його дiйсного отримувача.
АРМ-СЕП i ЦОСЕП у режимi реального часу забезпечують додаткову сувору взаємну автентифiкацiю пiд час установлення сеансу зв'язку.
Пiд час роботи АРМ-СЕП створює шифрованi архiви оброблених електронних банкiвських документiв та захищений вiд модифiкацiї протокол роботи АРМ-СЕП, у якому фiксуються всi дiї, що ним виконуються, iз зазначенням дати та часу оброблення електронних банкiвських документiв. Наприкiнцi банкiвського дня шифрованi архiви та протокол роботи АРМ-СЕП пiдлягають збереженню в архiвi. Розшифрування iнформацiї, що зберiгається в архiвi, здiйснюється лише шляхом застосування ключа, який зберiгається в Нацiональному банку.
5.3. Департамент iнформацiйної безпеки надає банкам (фiлiям) iнформацiйнi послуги щодо достовiрностi iнформацiї за електронними банкiвськими документами у разi виникнення спорiв.
Департамент iнформацiйної безпеки розшифровує копiю шифрованого архiву учасника СЕП за його наявностi та з абсолютною достовiрнiстю визначає:
iдентифiкатор банку - учасника СЕП, який надiслав (зашифрував) електронний банкiвський документ;
iдентифiкатор банку - учасника СЕП, якому адресовано електронний банкiвський документ;
дату, годину та хвилину виконання шифрування електронного банкiвського документа;
дату, годину та хвилину розшифрування електронного банкiвського документа;
вiдповiднiсть усiх електронних цифрових пiдписiв, якими був захищений вiд модифiкацiї електронний банкiвський документ.
Пiд час використання АКЗI додатково визначаються:
номер апаратури захисту, на якiй виконувалося шифрування або розшифрування електронного банкiвського документа;
номер смарт-картки, якою користувалися пiд час шифрування або розшифрування електронного банкiвського документа.
Департамент iнформацiйної безпеки надає послуги щодо розшифрування iнформацiї за електронними банкiвськими документами, якщо учасники СЕП:
кожного робочого дня формують i надiйно зберiгають архiви роботи АРМ-СЕП, до яких мають входити журнали програмного та апаратного шифрування та захищенi вiд модифiкацiї протоколи роботи АРМ-СЕП;
подають копiї архiвiв АРМ-СЕП за вiдповiдний банкiвський день.
Департамент iнформацiйної безпеки надає послуги щодо розшифрування iнформацiї за електронними банкiвськими документами, якщо мiж учасниками СЕП виникли спори з питань, пов'язаних з електронними банкiвськими документами, у разi:
невиконання автентифiкацiї або розшифрування електронного банкiвського документа;
вiдмови вiд факту одержання електронного банкiвського документа;
вiдмови вiд факту формування та надсилання електронного банкiвського документа;
ствердження, що одержувачу надiйшов електронний банкiвський документ, а насправдi вiн не надсилався;
ствердження, що електронний банкiвський документ був сформований та надiсланий, а вiн не формувався або було надiслане iнше повiдомлення;
виникнення спору щодо змiсту одного й того самого електронного банкiвського документа, сформованого та надiсланого вiдправником i одержаного та правильно автентифiкованого одержувачем;
роботи з архiвом учасника СЕП пiд час проведення ревiзiй тощо.
Департамент iнформацiйної безпеки надає учасникам СЕП письмовi вiдповiдi щодо порушених питань".
У зв'язку з цим глави 5 - 17 уважати вiдповiдно главами 6 - 18 (iз вiдповiдною перенумерацiєю пунктiв).
У текстi Правил посилання на глави 5 - 17 замiнити посиланнями вiдповiдно на глави 6 - 18, посилання на пункти 5.1 - 5.5, 6.1 - 6.12, 7.1 - 7.15, 8.1 - 8.15, 9.1 - 9.8, 10.1 - 10.4, 11.1 - 11.7, 12.1 - 12.6, 13.1 - 13.4, 14.1 - 14.4, 15.1 - 15.3, 16.1 - 16.10, 17.1 - 17.3 замiнити посиланнями вiдповiдно на пункти 6.1 - 6.5, 7.1 - 7.12, 8.1 - 8.15, 9.1 - 9.15, 10.1 - 10.8, 11.1 - 11.4, 12.1 - 12.7, 13.1 - 13.6, 14.1 - 14.4, 15.1 - 15.4, 16.1 - 16.3, 17.1 - 17.10, 18.1 - 18.3.
6. Пункт 6.4 глави 6 викласти в такiй редакцiї:
"6.4. Регiональний пiдроздiл Департаменту iнформацiйної безпеки зберiгає один примiрник, а органiзацiя - другий примiрник акта про приймання-передавання апаратних засобiв захисту iнформацiї Нацiонального банку України (додаток 4), за яким АКЗI разом iз смарт-картками передаються в органiзацiю. ПМГК передаються органiзацiї згiдно iз супровiдним листом".
7. У главi 7:
1) у пунктi 7.6:
у пiдпунктi "а" слова, цифри i лiтери "територiальне управлiння/", "(поштова скринька v32rpal)" виключити;
у пiдпунктi "б" слова "територiальне управлiння/" виключити;
абзац другий пiдпункту "г" викласти в такiй редакцiї:
"АКЗI разом з усiма наявними СК (iз записом їх номерiв) згiдно з актом про приймання-передавання апаратних засобiв захисту iнформацiї Нацiонального банку України (додаток 4), один примiрник якого зберiгає регiональний пiдроздiл Департаменту iнформацiйної безпеки, другий - органiзацiя";
у пiдпунктi "е" слова "територiальне управлiння/Центральна розрахункова палата Нацiонального банку" у всiх вiдмiнках замiнити словами "Центральна розрахункова палата Нацiонального банку" у вiдповiдних вiдмiнках, слова, цифри i лiтери "(поштовi скриньки ZAHIST i v32rpal)" виключити;
у пiдпунктi "є" слова "одержати консультацiю та", "територiальне управлiння/" виключити;
2) пiдпункт "а" пункту 7.7 викласти в такiй редакцiї:
"а) ужити заходiв щодо переведення АРМ-СЕП на роботу з програмними засобами захисту i отримання нового комплекту АКЗI та СК, що передбаченi пунктом 7.6 цiєї глави";
8. У главi 8:
1) у пунктi 8.2:
в абзацi першому слова "в разi негативних результатiв перевiрки" замiнити словами "в разi негативних результатiв перевiрки ПМГК";
пiдпункти "а" i "б" викласти в такiй редакцiї:
"а) повiдомити про це засобами електронної пошти Нацiонального банку регiональний пiдроздiл Департаменту iнформацiйної безпеки протягом одного робочого дня i дiяти вiдповiдно до його рекомендацiй;
б) повернути до регiонального пiдроздiлу Департаменту iнформацiйної безпеки ПМГК разом iз супровiдним листом у паперовiй формi. У листi повиннi зазначатися версiя ПМГК, дата створення i час його введення в експлуатацiю, причина повернення ПМГК";
2) пункт 8.5 викласти в такiй редакцiї:
"8.5. Органiзацiя зобов'язана повернути ПМГК до регiонального пiдроздiлу Департаменту iнформацiйної безпеки разом iз супровiдним листом у паперовiй формi пiсля завершення строку використання (Нацiональний банк установлює дату). У цьому листi повиннi зазначатися версiя ПМГК, дата створення i час його введення в експлуатацiю, причина повернення.
Органiзацiя зобов'язана знищити робочу копiю ПМГК (якщо немає iнших вимог Нацiонального банку) на мiсцi методом, який унеможливлює її вiдновлення (наприклад, шляхом фрагментарного подрiбнення гнучкого магнiтного диску), i скласти акт про знищення засобiв захисту iнформацiї Нацiонального банку України (додаток 6). Регiональний пiдроздiл Департаменту iнформацiйної безпеки зберiгає один примiрник цього акта або оригiнал, органiзацiя - другий або копiю.
Адмiнiстратор захисту iнформацiї зобов'язаний зробити вiдповiдний запис про повернення ПМГК до регiонального пiдроздiлу Департаменту iнформацiйної безпеки та знищення його копiї в органiзацiї iз зазначенням номерiв i дат супровiдного листа та акта про знищення копiї у журналi облiку адмiнiстратора захисту iнформацiї (роздiл 2 додатка 3)";
3) пiдпункт "в" пункту 8.6 пiсля слiв "Нацiонального банку" доповнити словами "засобами електронної пошти Нацiонального банку".
9. У главi 10:
1) в абзацi третьому пункту 10.4 слова "зобов'язане/зобов'язана" замiнити словом "зобов'язаний";
2) пункт 10.5 викласти в такiй редакцiї:
"10.5. Департамент iнформацiйної безпеки на пiдставi повiдомлення регiонального пiдроздiлу Департаменту iнформацiйної безпеки має право звернутися до керiвника органiзацiї з пропозицiєю призначити нового адмiнiстратора захисту iнформацiї в разi неналежного виконання/невиконання ним своїх обов'язкiв або розпочати процедуру вилучення наданих органiзацiї засобiв захисту".
10. У главi 12:
1) пiдпункти "а", "б", "г" пункту 12.3 викласти в такiй редакцiї:
"а) нормативно-правовi акти Нацiонального банку, рекомендацiї Нацiонального банку з питань захисту iнформацiї;
б) останню довiдку про перевiрку регiональним пiдроздiлом Департаменту iнформацiйної безпеки органiзацiї захисту електронної банкiвської iнформацiї";
"г) акт про приймання-передавання засобiв захисту iнформацiї та/або супровiдний лист до засобiв захисту iнформацiї, якi перебувають у використаннi";
2) у пунктi 12.4:
пiдпункти "а", "в" викласти в такiй редакцiї:
"а) листи про надання засобiв захисту iнформацiї (додаток 7)";
"в) акт про приймання-передавання засобiв захисту iнформацiї та/або супровiдний лист до засобiв захисту iнформацiї, якi були повернутi до регiонального пiдроздiлу Департаменту iнформацiйної безпеки";
11. У главi 13:
1) у пунктi 13.1 слова "зобов'язане/зобов'язана" замiнити словами "зобов'язаний";
2) пункти 13.2, 13.5 викласти в такiй редакцiї:
"13.2. Пiдставою для перевiрки є вiдповiдний розпорядчий документ Департаменту iнформацiйної безпеки Нацiонального банку";
"13.5. Департамент iнформацiйної безпеки на пiдставi повiдомлення регiонального пiдроздiлу Департаменту iнформацiйної безпеки вирiшує питання про надання органiзацiї необхiдних засобiв захисту i документiв, що регламентують правила iнформацiйної безпеки пiд час роботи з ними, у робочому порядку";
3) пункт 13.6 доповнити новим абзацом першим такого змiсту:
"13.6. Засоби захисту для органiзацiї виготовляються Департаментом iнформацiйної безпеки на замовлення регiонального пiдроздiлу Департаменту iнформацiйної безпеки. Замовлення на виготовлення засобiв захисту iнформацiї має подаватися не пiзнiше нiж за 10 календарних днiв до включення органiзацiї до Довiдника учасникiв СЕП".
У зв'язку з цим абзац перший уважати абзацом другим.
12. У главi 14:
1) пункт 14.2 викласти в такiй редакцiї:
"14.2. Органiзацiя зобов'язана повернути АКЗI разом iз СК до регiонального пiдроздiлу Департаменту iнформацiйної безпеки в разi її лiквiдацiї або отримання вiд Департаменту iнформацiйної безпеки Нацiонального банку листа з вимогою повернення засобiв захисту протягом трьох робочих днiв згiдно з актом про приймання-передавання апаратних засобiв захисту iнформацiї Нацiонального банку України (додаток 4), один примiрник якого зберiгає регiональний пiдроздiл Департаменту iнформацiйної безпеки Нацiонального банку, другий - органiзацiя";
2) пункт 14.3 викласти в такiй редакцiї:
"Органiзацiя у випадках, передбачених пiдпунктом "б" пункту 14.1 цiєї глави, зобов'язана:
а) повiдомити регiональний пiдроздiл Департаменту iнформацiйної безпеки про передбачуванi строки i порядок виходу органiзацiї iз СЕП або переходу на iншу модель роботи, погодити перелiк засобiв захисту, журналiв, якi пiдлягають поверненню до регiонального пiдроздiлу Департаменту iнформацiйної безпеки, передаванню до архiву органiзацiї або знищенню на мiсцi;
б) ужити заходiв щодо повернення до регiонального пiдроздiлу Департаменту iнформацiйної безпеки, знищення на мiсцi i передавання до архiву органiзацiї засобiв захисту, справ, журналiв облiку зi складанням акта приймання-передавання апаратних засобiв захисту iнформацiї Нацiонального банку України (додаток 4) та/або супровiдного листа про повернення ПМГК та акта про повернення до регiонального пiдроздiлу Департаменту iнформацiйної безпеки, знищення i передавання до архiву засобiв захисту iнформацiї Нацiонального банку, справ i журналiв облiку (додаток 11);
в) надiслати до регiонального пiдроздiлу Департаменту iнформацiйної безпеки вищезазначенi документи, один примiрник яких зберiгає регiональний пiдроздiл Департаменту iнформацiйної безпеки, другий - органiзацiя".
13. У главi 16:
1)у пунктi 16.1 слова "(по телефону)" замiнити словами "телефоном та протягом трьох робочих днiв у листi";
2) в абзацi першому пункту 16.3 слова "одного робочого дня" замiнити словами "трьох робочих днiв".
14. У главi 17:
1) в абзацi першому пункту 17.1 слово "документiв" виключити;
2) у пунктi 17.10 слово "акт" замiнити словом "довiдка", слово "перший" замiнити словом "один", слова "цього акта" замiнити словами "цiєї довiдки".
15. Главу 18 виключити.
16. У пiдпунктi 1.1 пункту 1 додатка 1 слова "(з актом про приймання-передавання)" виключити, слова "програмнi засоби захисту iнформацiї (у тому числi програмний модуль генерацiї ключiв)" замiнити словами "програмний модуль генерацiї ключiв".
17. У додатку 4:
1) в абзацi першому слова "Начальник (заступник начальника)
Управлiння Нацiонального банку України в ___________________ [Директор (заступник директора) Центральної розрахункової палати Нацiонального банку України]" замiнити словами "Директор (заступник директора) Департаменту iнформацiйної безпеки Нацiонального банку України";
2) назву акта викласти в такiй редакцiї:
"Акт про приймання-передавання апаратних засобiв захисту iнформацiї Нацiонального банку України (Зразок)";
3) в абзацi першому акта:
слова "служби захисту iнформацiї Управлiння" замiнити словами "регiонального пiдроздiлу Департаменту iнформацiйної безпеки";
слова "в __________________/Центральної розрахункової палати Нацiонального банку України" та "програмного модуля генерацiї ключiв версiї __________" виключити.
18. У додатку 6 слова "Управлiння Нацiонального банку України в _______________________________/Центральної розрахункової палати" замiнити словами "Департаменту iнформацiйної безпеки".
19. У додатку 7 слова "ЕЛЕКТРОННА ПОШТА" замiнити словами "ЕЛЕКТРОННЕ ПОВIДОМЛЕННЯ", слова "Управлiння Нацiонального банку України в ____________________ (Центральна розрахункова палата Нацiонального банку України)" замiнити словами "Нацiональний банк України Департамент iнформацiйної безпеки".
20. У додатку 9:
1) у пунктi 5 слова "службi захисту iнформацiї територiального управлiння/Центральної розрахункової палати" замiнити словами "регiональному пiдроздiлу Департаменту iнформацiйної безпеки";
2) у пунктi 6 слова "територiальним управлiнням/Центральною розрахунковою палатою" замiнити словами "регiональним пiдроздiлом Департаменту iнформацiйної безпеки";
3) слова "вiд Управлiння Нацiонального банку України в _____________________________ (Вiд Центральної розрахункової палати Нацiонального банку України)" замiнити словами "вiд регiонального пiдроздiлу Департаменту iнформацiйної безпеки".
21. У примiтцi додатка 10 слова "сумiщення можливе як виняток" замiнити словами "сумiщення можливе як виняток за погодженням з Департаментом iнформацiйної безпеки".
22. У додатку 11:
1) слова та цифри "ПОГОДЖЕНО Начальник (заступник начальника) Управлiння Нацiонального банку України в ____________________ [Директор (заступник директора) Центральної розрахункової палати Нацiонального банку України] ___________________________ (пiдпис, iнiцiали, прiзвище) "___" ____________ 200_ р. М. П." виключити;
2) у назвi акта слова "територiального управлiння/Центральної розрахункової палати" замiнити словами "регiонального пiдроздiлу Департаменту iнформацiйної безпеки";
3) слова "договору про використання засобiв захисту iнформацiї Нацiонального банку України в iнформацiйних задачах" замiнити словами "договору про використання засобiв захисту iнформацiї в системi електронних платежiв Нацiонального банку України/договору про використання засобiв захисту iнформацiї Нацiонального банку України iнформацiйних задачах";
4) у пунктi 1 слова "до територiального управлiння/Центральної розрахункової палати" замiнити словами "до регiонального пiдроздiлу Департаменту iнформацiйної безпеки";
5) слова та абревiатуру "вiдкритi ключi АРМ-СЕП" замiнити словами та абревiатурою "вiдкритi ключi АРМ-СЕП/АРМ-НБУ", слова та абревiатуру "таблицi вiдкритих ключiв АРМ-СЕП" замiнити словами та абревiатурою "таблицi вiдкритих ключiв АРМ-СЕП/АРМ-НБУ";
6) слова "Служба захисту iнформацiї територiального управлiння/Центральної розрахункової палати" замiнити словами "Представник регiонального пiдроздiлу Департаменту iнформацiйної безпеки".
23. У додатку 12:
1) слова та цифри "ПОГОДЖЕНО Керiвник (заступник керiвника) органiзацiї ___________________ (пiдпис, iнiцiали, прiзвище) "___" ____________ 200__ р. М. П." виключити;
2) слова "ЗАТВЕРДЖЕНО Начальник (заступник начальника) Управлiння Нацiонального банку України в ____________________ [Директор (заступник директора) Центральної розрахункової палати Нацiонального банку України] ___________________________ (пiдпис, iнiцiали, прiзвище) "___" ____________ 200__ р. М. П." виключити;
3) у назвi акта слово "Акт" замiнити словом "Довiдка";
4) слова "служби захисту iнформацiї територiального управлiння/Центральної розрахункової палати" замiнити словами "регiонального пiдроздiлу Департаменту iнформацiйної безпеки";
5) слова та цифри "Iнструкцiї про мiжбанкiвський переказ коштiв в Українi в нацiональнiй валютi, затвердженої постановою Правлiння Нацiонального банку України вiд 16.08.2006 N 320, зареєстрованої в Мiнiстерствi юстицiї України 06.09.2006 за N 1035/12909" виключити;
6) слова "з актом" замiнити словами "з довiдкою";
7) у примiтцi слово "акта" замiнити словом "довiдки".
24. Доповнити Правила додатком 13 такого змiсту:
"Договiр N ___
про використання засобiв захисту iнформацiї в
системi електронних платежiв Нацiонального банку
України
(Зразок)
м. ___________ | ____________________ (дата) |
(посада) |
вiд | N ___, | ||||
(прiзвище, iм'я, по батьковi) | (назва документа) |
та | (далi - Замовник) | ||
(найменування банку/фiлiї) | (посада) |
в особi | |||
(прiзвище, iм'я, по батьковi) | (назва документа) |
вiд ____________ N ____ (далi - Сторони), уклали цей договiр про таке. |
1. Предмет договору
1.1. Виконавець зобов'язується надати Замовнику засоби захисту iнформацiї Нацiонального банку України (далi - засоби захисту iнформацiї) для використання їх у системi електронних платежiв Нацiонального банку України (далi - СЕП) та в програмно-технiчних комплексах, якi забезпечують оброблення та передавання iнформацiї, що не належить до платiжної та технологiчної iнформацiї СЕП (далi - iнформацiйнi задачi).
1.2. Використання, зберiгання та приймання-передавання засобiв захисту iнформацiї здiйснюються вiдповiдно до нормативно-правових актiв Нацiонального банку України з питань захисту iнформацiї.
2. Права та обов'язки Сторiн
2.1. Виконавець має право:
перевiряти Замовника щодо дотримання ним вимог захисту iнформацiї та правил органiзацiї захисту електронних банкiвських документiв з використанням засобiв захисту iнформацiї Нацiонального банку України, установлених Нацiональним банком України;
зупиняти обслуговування Замовника в разi порушень ним правил роботи iз засобами захисту iнформацiї або передавання (навiть тимчасово) отриманих Замовником засобiв захисту iнформацiї третiм особам, установам чи органiзацiям, а також iншим установам чи органiзацiям у межах юридичної особи Замовника;
запроваджувати новi програмно-технiчнi та технологiчнi засоби, розробленi для полiпшення послуг, що надаються Замовнику;
надсилати електронне повiдомлення до територiального управлiння Нацiонального банку України, що обслуговує кореспондентський (консолiдований кореспондентський) рахунок банку, для договiрного списання коштiв у разi ненадходження вiд Замовника оплати за виконанi Виконавцем роботи та наданi послуги в сумi та в строк, що обумовленi в роздiлi 3 цього договору.
2.2. Замовник має право:
користуватися наданими засобами захисту iнформацiї в СЕП та iнформацiйних задачах;
отримувати вiд Виконавця консультацiї з питань, пов'язаних з експлуатацiєю та зберiганням засобiв захисту iнформацiї;
використовувати наданий програмний модуль генерацiї ключiв (далi - ПМГК) криптографiчного захисту для робочих мiсць системи автоматизацiї банку, СЕП та iнформацiйних задач згiдно з дiючою технологiєю.
2.3. Виконавець бере на себе зобов'язання:
правильно та своєчасно надавати Замовнику засоби захисту iнформацiї з потрiбною документацiєю до них та консультацiї з питань захисту i правил користування засобами захисту;
своєчасно iнформувати Замовника про змiни, якi планується вносити в систему захисту iнформацiї Нацiонального банку України;
здiйснювати замiну апаратури криптографiчного захисту iнформацiї (далi - АКЗI) в разi виходу її з ладу та безкоштовний ремонт, крiм випадкiв, зазначених у пунктi 3.2 цього договору;
забезпечувати своєчасну замiну ПМГК у разi його пошкодження або виходу з ладу, крiм випадкiв, зазначених у пунктi 3.2 цього договору.
2.4. Замовник бере на себе зобов'язання:
не передавати (навiть тимчасово) отриманi ним засоби захисту iнформацiї, якi використовуються в СЕП та iнформацiйних задачах, третiм особам, установам чи органiзацiям;
дотримуватися технологiчної дисциплiни в роботi iз засобами захисту iнформацiї, забезпечувати їх експлуатацiю i зберiгання згiдно з наданими Виконавцем iнструкцiями. Негайно iнформувати Виконавця про виникнення порушень умов зберiгання та використання засобiв захисту iнформацiї i вживати заходiв для їх усунення;
утримувати засоби захисту iнформацiї в належному станi;
забезпечувати цiлiснiсть голографiчної наклейки на АКЗI;
не використовувати наданi засоби захисту iнформацiї для завдань, якi не обумовленi наявними iнструкцiями;
забезпечувати наявнiсть потрiбних технiчних засобiв для пiдключення апаратури захисту iнформацiї згiдно з вимогами Виконавця;
забезпечувати транспортування засобiв захисту iнформацiї до мiсця її встановлення в Замовника та до мiсця її замiни у Виконавця;
своєчасно здiйснювати оплату Виконавцю за виконанi роботи та наданi послуги;
передати (повернути) Виконавцю засоби захисту iнформацiї та документацiю до них протягом трьох робочих днiв пiсля припинення дiї цього договору;
сплачувати Виконавцю встановлену нормативно-правовими актами Нацiонального банку України суму за проведення фахiвцями Нацiонального банку України аналiзу в разi:
повторно виявлених у Замовника порушень вимог захисту iнформацiї та правил органiзацiї захисту електронних банкiвських документiв з використанням засобiв захисту iнформацiї Нацiонального банку України, установлених Нацiональним банком України;
втрати або пошкодження АКЗI у СЕП;
пошкодження голографiчної наклейки на АКЗI;
втрати або пошкодження смарт-картки для АКЗI;
втрати або пошкодження ПМГК та його повторного надання на замiну втраченого або пошкодженого ПМГК у СЕП.
3. Порядок розрахункiв
3.1. Виконавець щомiсяця до ___ числа надсилає Замовнику засобами системи електронної пошти Нацiонального банку України розрахунок за виконанi роботи та наданi послуги згiдно з тарифами на операцiї (послуги), установленими нормативно-правовими актами Нацiонального банку України. У разi внесення Нацiональним банком України змiн до тарифiв розмiр оплати змiнюється з часу набрання чинностi цими змiнами (без укладення додаткового договору). Замовник має здiйснити оплату за розрахунком (у тому числi пенi) до першого числа наступного мiсяця.
Акт про виконанi роботи та наданi послуги з пiдписами та вiдбитком печатки Виконавець надсилає iногородньому Замовнику засобами поштового зв'язку.
3.2. Розрахунок за виконанi роботи, наданi послуги за неповний робочий мiсяць (укладення, розiрвання договору) здiйснюється за фактично вiдпрацьованi днi мiсяця.
3.3. У разi ненадходження оплати вiд Замовника протягом мiсяця Виконавець без додаткового погодження надсилає електронне повiдомлення до територiального управлiння Нацiонального банку України, що обслуговує кореспондентський (консолiдований кореспондентський) рахунок банку, для договiрного списання суми згiдно з розрахунком. Для заповнення реквiзиту "Призначення платежу" Виконавець в електронному повiдомленнi зазначає номер, дату договору, за якими має здiйснюватися договiрне списання.
4. Вiдповiдальнiсть Сторiн
4.1. Виконавець несе вiдповiдальнiсть перед Замовником за правильне та своєчасне надання засобiв захисту iнформацiї Замовнику для забезпечення можливостi роботи в СЕП та в iнформацiйних задачах Нацiонального банку України.
4.2. Замовник вiдшкодовує Виконавцю фактичнi збитки за втраченi засоби захисту iнформацiї (викраденi, загубленi тощо) або тi, що вийшли з ладу (у результатi механiчних та iнших пошкоджень, пов'язаних з порушенням технологiї використання), якщо встановлено вину Замовника.
4.3. У разi порушення умов зберiгання та використання засобiв захисту iнформацiї Замовник вiдшкодовує Виконавцю пов'язанi з цим фактичнi збитки.
4.4. У разi прострочення оплати за виконанi роботи та наданi послуги Замовник сплачує Виконавцю суму боргу з урахуванням установленого iндексу iнфляцiї за весь час прострочення i ___ проценти рiчних з простроченої суми.
5. Форс-мажор
5.1. Сторони договору звiльняються вiд вiдповiдальностi за часткове або повне невиконання будь-якого з положень цього договору, якщо це невиконання стало наслiдком причин, що перебувають поза сферою контролю Сторони, яка його не виконала. Такi причини включають стихiйне лихо, надзвичайнi погоднi умови, пожежi, вiйни, страйки, вiйськовi дiї, громадськi заворушення, але не обмежуються ними (далi - форс-мажор). Перiод звiльнення вiд вiдповiдальностi починається з часу оголошення однiєю iз Сторiн форс-мажору i закiнчується (чи закiнчився б), якщо ця Сторона вжила заходiв, яких вона i справдi могла б ужити, для виходу з форс-мажору. Форс-мажор автоматично продовжує строк виконання зобов'язань на весь перiод його дiї та лiквiдацiї наслiдкiв. Про настання форс-мажорних обставин Сторони мають iнформувати одна одну невiдкладно.
5.2. Якщо зазначенi обставини триватимуть бiльше нiж 6 мiсяцiв, то кожна iз Сторiн матиме право вiдмовитися вiд подальшого виконання зобов'язань за цим договором i в такому разi жодна iз Сторiн не матиме права на вiдшкодування iншою Стороною можливих збиткiв.
6. Порядок змiни та розiрвання договору
6.1. Усi змiни до цього договору в перiод його дiї вносяться додатковими договорами, що стають його невiд'ємними частинами i набирають чинностi з дня пiдписання обома Сторонами.
6.2. Сторона, яка вважає за потрiбне змiнити чи розiрвати договiр, надсилає пропозицiї про це другiй Сторонi.
6.3. Сторона, яка одержала пропозицiю про змiну чи розiрвання договору, у двадцятиденний строк пiсля одержання пропозицiї повiдомляє другiй Сторонi про результати її розгляду.
6.4. Якщо Сторони не досягли згоди щодо змiни (розiрвання) договору або в разi неодержання вiдповiдi у встановлений строк з урахуванням часу поштового обiгу, зацiкавлена Сторона має право передати вирiшення спору до суду.
6.5. У разi змiни однiєю iз Сторiн будь-яких реквiзитiв, що зазначенi в роздiлi 10 цього договору, Сторона, яка змiнила реквiзити, у строк до _____ днiв пiсля їх змiни письмово повiдомляє про це другу Сторону. Сторона, яка одержала це повiдомлення, має письмово повiдомити другу Сторону про його одержання.
7. Порядок розгляду спорiв
7.1. Спори, що виникають протягом дiї договору, вирiшуються шляхом переговорiв.
7.2. У разi недосягнення згоди спори вирiшуються у судi.
8. Строк дiї договору
8.1. Договiр, укладений на строк _____, набирає чинностi з дня його пiдписання.
8.2. Дiя договору припиняється у випадках, передбачених законодавством України.
9. Iншi умови договору
9.1. Цей договiр складено в двох примiрниках, що мають однакову юридичну силу, по одному для кожної iз Сторiн.
9.2. Взаємовiдносини Сторiн, що не визначенi цим договором, регулюються законодавством України.
10. Мiсцезнаходження, банкiвськi реквiзити, iдентифiкацiйнi коди, пiдписи Сторiн
10.1. Мiсцезнаходження, банкiвськi реквiзити, iдентифiкацiйний код Виконавця:
10.2. Мiсцезнаходження, банкiвськi реквiзити, iдентифiкацiйний код Замовника:
10.3. Для вирiшення всiх питань, пов'язаних з виконанням цього договору, вiдповiдальними представниками є:
вiд Виконавця: | |
вiд Замовника: | |
Виконавець | Замовник | ||
(пiдпис) | (пiдпис) | ||
М. П. | М. П. |
Примiтки.
Сторони можуть змiнювати умови, якi передбаченi цим договором, а також установлювати iншi умови, що мають вiдповiдати законодавству України, у тому числi нормативно-правовим актам Нацiонального банку України".
25. У додатках 6, 9, 12 слова та цифри "вiд ___.___.2007 N ________,
зареєстрованих у Мiнiстерствi юстицiї України ___.___.2007 за N ________"
замiнити словами та цифрами "вiд 02 квiтня 2007 року N 112, зареєстрованих у Мiнiстерствi юстицiї України 24 квiтня 2007 року за N 419/13686 (зi змiнами)".
26. У додатках 4, 6, 7, 9, 11, 12 цифри та лiтеру "200_ р." замiнити цифрами та лiтерою "20__ р."
27. У текстi Правил слова "територiальне управлiння/Центральна розрахункова палата Нацiонального банку" у всiх вiдмiнках замiнити словами "регiональний пiдроздiл Департаменту iнформацiйної безпеки" у вiдповiдних вiдмiнках.
Директор Департаменту iнформацiйної безпеки | Д. О. Лук'янов |
ПОГОДЖЕНО: | |
Заступник Голови Нацiонального банку України | Я. В. Смолiй |