8. Організація зобов'язана оснастити вікно (вікна) у приміщенні АРМ-СЕП ґратами.
9. Організація зобов'язана обладнати приміщення з АРМ-СЕП/АРМ-НБУ системою охоронної сигналізації з двома рубежами захисту:
- перший - установлення сигналізації по периметру;
- другий - установлення відповідного обладнання для стеження за переміщенням об'єктів у приміщенні.
10. Організація зобов'язана встановити в приміщенні з АРМ-СЕП/АРМ-НБУ сейфи (металеві шафи), призначені для зберігання в неробочий час засобів захисту і документів до них.
11. Організація зобов'язана призначати працівників, які мають допуск до приміщення з АРМ-СЕП/АРМ-НБУ, розпорядчим документом, у якому повинні зазначатися всі відповідальні особи і засоби захисту, які вони використовують.
Адміністратор захисту інформації обліковує призначених осіб у журналі обліку адміністратора захисту інформації (розділ 4 додатка 3).
12. Працівники організації, які мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ, зобов'язані перебувати в приміщенні з АРМ-СЕП/АРМ-НБУ тільки під час виконання своїх обов'язків, що пов'язані з роботою АРМ-СЕП/АРМ-НБУ, і лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ, який заступив на зміну.
Працівники організації мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ на підставі усного розпорядження керівника організації (або особи, яка виконує його обов'язки) лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ для вирішення окремих питань.
13. Організація зобов'язана розміщувати АРМ-СЕП та АРМ бухгалтера САБ в окремих приміщеннях з обмеженим доступом.
14. Організація зобов'язана розмістити робоче місце адміністратора захисту інформації в окремому приміщенні з обмеженим доступом та обладнати його сейфом для зберігання засобів захисту, справ і журналу обліку адміністратора захисту інформації тощо. Це приміщення повинно обладнуватися системою охоронної сигналізації з одним рубежем захисту та в неробочий час опечатуватися.
15. Організація зобов'язана обладнати робоче місце адміністратора захисту інформації ПЕОМ, яка не підключена до локальної мережі організації, для копіювання ПМГК і генерування ключів відповідальними особами.
16. Організація зобов'язана розмістити інші робочі місця САБ, на яких використовуються засоби захисту, у приміщеннях з обмеженим доступом, які обладнані сейфом оператора робочого місця для зберігання ТК.
17. Організація має право розміщувати АРМ бухгалтера САБ у будь-якому приміщенні організації з обмеженим доступом, за винятком кімнати з АРМ-СЕП і приміщення адміністратора захисту інформації.
18. Організація зобов'язана обладнати сейфи, які використовуються для зберігання засобів захисту, місцем для опечатування.
Сейф з кодовим замком також має обладнуватися місцем для опечатуван-ня, що дасть змогу виявляти спроби його несанкціонованого відкривання.
19. Принципи побудови криптографічного захисту інформації
19.1. Система захисту інформації Національного банку створена для забезпечення конфіденційності та цілісності електронної інформації, а також суворої автентифікації учасників СЕП, учасників інформаційних задач і фахівців організацій, які беруть участь у підготовці й обробленні електронних документів.
19.2. У засобах захисту інформації для СЕП та інших інформаційних задачах використовуються механізми суворої автентифікації та формування/ перевірки ЕЦП на базі несиметричного алгоритму RSA. Організація отримує від територіального управління / Центральної розрахункової палати Національного банку персональний ПМГК із убудованим ідентифікатором цієї організації для забезпечення роботи цього алгоритму.
19.3. АРМ-СЕП/АРМ-НБУ забезпечує конфіденційність електронних банківських документів, що містять конфіденційну інформацію, за допомогою апаратного/програмного шифрування всіх файлів/пакетів, які обробляються.
АРМ-СЕП і АРМ-НБУ є єдиними програмно-апаратними комплексами, які забезпечують обмін електронною інформацією в СЕП та інформаційних задачах.
Організація зобов'язана виконувати системні вимоги до ПЕОМ та інструкції щодо налаштування комплексів АРМ-СЕП і АРМ-НБУ.
19.4. АРМ-СЕП уключає вбудовані засоби захисту, що забезпечують конфіденційність і цілісність інформації під час її пересилання каналами зв'язку. Убудовані засоби захисту інформації забезпечують два режими роботи АРМ-СЕП - з використанням апаратних і програмних засобів захисту.
19.5. АРМ-НБУ включає вбудовані програмні засоби захисту, які забезпечують програмне шифрування.
19.6. Використання стандартизованих криптографічних алгоритмів у вбудованих засобах захисту гарантує задану криптостійкість. Криптографічні алгоритми не становлять таємниці. Криптостійкість засобів захисту забезпечується криптостійкістю алгоритмів та ключової інформації і ключів, тому інформація про це належить до інформації з обмеженим доступом, яка має гриф "Банківська таємниця" і розголошенню не підлягає.
19.7. Національний банк виконує побудову ключової системи криптографічного захисту. Ця система складається з ключів програмних засобів захисту, що генеруються в організаціях за допомогою наданих ПМГК, і ключів апаратних засобів захисту, які генеруються безпосередньо за допомогою АРМ-СЕП.
19.8. Організація, яка використовує засоби захисту, зобов'язана виконувати організаційні вимоги щодо їх отримання, використання та зберігання і своєчасної заміни відповідних ключів до них.
Територіальне управління / Центральна розрахункова палата Національного банку має право вилучати з організації засоби захисту в разі невиконання вимог щодо використання та зберігання засобів захисту і режимних вимог до приміщень.
19.9. Організація забезпечує захист електронних документів за допомогою таких засобів захисту:
а) апаратні засоби захисту для СЕП:
АКЗІ;
СК;
програмне забезпечення керування АКЗІ (убудоване в АРМ-СЕП і не може бути вилучене);
б) програмні засоби захисту для СЕП та інформаційних задач:
програмний модуль для шифрування (убудований в АРМ-СЕП та АРМ-НБУ);
ПМГК (з відповідними незаповненими ТВК);
бібліотеки накладання/перевірки ЕЦП (Національний банк надає безкоштовно всім організаціям, які використовують засоби захисту, для вбудовування в програмне забезпечення САБ або інше відповідне програмне забезпечення).
19.10. Основними засобами захисту в АРМ-СЕП є АКЗІ.
Адміністратор АРМ-СЕП зобов'язаний здійснити перехід до роботи з програмними засобами захисту в разі виходу з ладу АКЗІ.
19.11. Територіальне управління / Центральна розрахункова палата Національного банку надає організації АКЗІ разом із СК та/або ПМГК відповідно до встановленого порядку (глава 5 цих Правил).
19.12. ПМГК генерує пару ключів одночасно, яка складається з ТК і ВК.
Таблиця 2.3
Перелік засобів захисту інформації в СЕП НБУ (комерційний банк)
N з/п | Найменування засобів захисту | Кількість |
1 | 2 | 3 |
1 | АКЗІ | 1 |
2 | СК | 2 |
3 | ПМГК | 1 |
4 | Копія ПМГК | 1 |
5 | ТК АРМ-СЕП | 1 |
6 | ТК АРМ-НБУ | 1 |
7 | ТК АРМ бухгалтера САБ | За кількістю відповідальних осіб, але не більше 5 |
8 | ТК технолога | За кількістю відповідальних осіб, але не більше 5 |
9 | ТК операціоністів | За кількістю відповідальних осіб |
10 | ТК інших робочих та технологічних місць для інформаційних задач | За вказівками Департаменту інформатизації Національного банку |
Міжнародна міжбанківська платіжна телекомунікаційна система (SWIFT) — одна з найвідоміших комп’ютерних мереж, які було створено з ініціативи фінансових організацій.
Системи обробки банківських операцій можна поділити на два типи. До першого типу належать системи, в яких виконується оперативне пересилання та зберігання міжбанківських документів, а до другого — системи, в яких виконуються також функції, безпосередньо пов’язані з виконанням взаємних вимог і зобов’язань банків.
Система СВІФТ належить до першого типу, оскільки вона забезпечує лише передавання та доставляння банківських повідомлень різного типу між банками — учасниками системи, але не виконує жодних розрахункових чи інших операцій з банківської обробки цих повідомлень.
Прикладом систем другого типу може бути система електронних міжбанківських розрахунків (СЕП) Національного банку України, яка не лише забезпечує приймання та передавання банківських повідомлень, а й виконує операції з кореспондентськими рахунками банків — учасників розрахунків.
Головна мета створення СВІФТ і її основна функція полягають у тому, щоб надавати своїм користувачам цілодобовий доступ до високошвидкісної мережі передавання банківської інформації за умови високого ступеня контролю та захисту від несанкціонованого доступу.
Система СВІФТ базується на використанні єдиної мови, забезпечуючи єдину організацію обробки інформації, її захист і швидке передавання. Вона працює 24 год на добу і 365 днів у році. У разі, коли відправник і одержувач повідомлення працюють у мережі одночасно, то доставляння повідомлення виконується не більш як протягом 20 с.
Система СВІФТ — типовий приклад використання мережі пакетної комутації. Дані передаються по мережі у вигляді структурованих повідомлень, кожне з яких призначено для виконання певної фінансової операції. Для кожного підімкненого вузла та банку система індивідуально підтверджує приймання повідомлення та його обробку.
Особливістю СВІФТ є використання єдиних для всіх користувачів правил і понять. Єдина ділова мова поряд із можливістю ввімкнення користувачів у єдину всесвітню мережу телекомунікацій перетворюють цю систему на важливий інтеграційний чинник сучасного фінансового світу. Розроблені типи повідомлень охоплюють сферу переміщення платежів клієнтів, міжбанківський рух платежів, дані про торгівлю грошима та валютою, виписки з поточних рахунків банків тощо.