ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ

ПОСТАНОВА
04.05.2012 N 174

Зареєстровано в
Міністерстві юстиції України
16 липня 2012 р. за N 1197/21509

Про затвердження Змін до Положення
про забезпечення безперервного функціонування
інформаційних систем Національного банку України
та банків України

Відповідно до статті 7 Закону України "Про Національний банк України" ( 679-14 ), статей 5, 8-10 Закону України "Про електронний цифровий підпис" ( 852-15 ), пунктів 30, 31 Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13.07.2004 N 903 (зі змінами), та пунктів 5.6, 5.7 глави 5 Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13.01.2005 N 3, зареєстрованих у Міністерстві юстиції України 27.01.2005 за N 104/10384 (у редакції наказу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 10.05.2006 N 50), Правління Національного банку України постановляє:

1. Затвердити Зміни до Положення про забезпечення безперервного функціонування інформаційних систем Національного банку України та банків України, затвердженого постановою Правління Національного банку України від 17.06.2004 N 265, зареєстрованого в Міністерстві юстиції України 09.07.2004 за N 857/9456 (зі змінами), що додаються.

2. Управлінню захисту інформації (Лук'янов Д.О.) після державної реєстрації в Міністерстві юстиції України довести зміст цієї постанови до відома банків України для використання в роботі.

3. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Прохоренка В.П.

4. Постанова набирає чинності з дня її офіційного опублікування.

В.о. Голови В.І.Ричаківська

Затверджено
Постанова Правління
Національного банку України
04.05.2012 N 174

Зареєстровано в
Міністерстві юстиції України
16 липня 2012 р. за N 1197/21509

Зміни
до Положення про забезпечення
безперервного функціонування інформаційних систем
Національного банку України та банків України

1. У розділі I:

пункт 1 після слів "Про платіжні системи та переказ грошей в Україні" доповнити словами ", "Про електронний цифровий підпис" ( 852-15 );

у пункті 2:

абзац другий після слова "операцій" доповнити словами "та дій, пов'язаних з технічною і технологічною підтримкою діяльності Засвідчувального центру Національного банку, акредитованого Центру сертифікації ключів Національного банку (далі - АЦСК Національного банку), Центру сертифікації ключів банку (далі - ЦСК банку)";

абзац третій після слова "операцій" доповнити словами "та дій, пов'язаних з технічною і технологічною підтримкою діяльності Засвідчувального центру Національного банку, АЦСК Національного банку, ЦСК банку";

у пункті 3:

після абзацу першого доповнити пункт вісьмома новими абзацами такого змісту:

"Засвідчувальний центр Національного банку - засвідчувальний центр, що відповідає вимогам статті 10 Закону України "Про електронний цифровий підпис" ( 852-15 ) та створений у Національному банку для забезпечення реєстрації, засвідчення чинності відкритих ключів та акредитації групи центрів сертифікації ключів Національного банку та банків України;

інформаційна система Засвідчувального центру Національного банку - комплекс програмно-апаратних засобів, призначений для технічної й технологічної підтримки діяльності Засвідчувального центру Національного банку;

АЦСК Національного банку - центр сертифікації ключів, що відповідає вимогам статті 9 Закону України "Про електронний цифровий підпис" ( 852-15 ), створений у Національному банку для надання послуг електронного цифрового підпису (далі - ЕЦП), акредитований у Засвідчувальному центрі Національного банку;

інформаційна система АЦСК Національного банку - комплекс програмно-апаратних засобів, призначений для технічної й технологічної підтримки діяльності АЦСК Національного банку;

зареєстрований ЦСК банку - центр сертифікації ключів, що відповідає вимогам статті 8 Закону України "Про електронний цифровий підпис" ( 852-15 ), створений у банку для надання послуг ЕЦП банкам і їх клієнтам, зареєстрований у Засвідчувальному центрі Національного банку;

акредитований ЦСК банку - центр сертифікації ключів, що відповідає вимогам статті 9 Закону України "Про електронний цифровий підпис" ( 852-15 ), створений у банку для надання послуг ЕЦП банкам і їх клієнтам, акредитований у Засвідчувальному центрі Національного банку;

ЦСК банку - зареєстрований/акредитований ЦСК банку;

інформаційна система ЦСК банку - комплекс програмно-апаратних засобів, призначений для технічної й технологічної підтримки діяльності ЦСК банку;".

У зв'язку з цим абзаци другий-тринадцятий уважати відповідно абзацами десятим-двадцять першим;

абзац десятий після слова "України" доповнити словами "та технічної й технологічної підтримки діяльності Засвідчувального центру Національного банку і АЦСК Національного банку", після слів "(далі - СЕП)" доповнити словами ", інформаційна система Засвідчувального центру Національного банку, інформаційна система АЦСК Національного банку";

абзац одинадцятий після слів "у сфері автоматизації" доповнити словами ", технічної й технологічної підтримки діяльності ЦСК банку", після слів "(далі - ВМПС)" доповнити словами ", інформаційна система ЦСК банку";

абзац двадцять перший після слів "Про платіжні системи та переказ грошей в Україні" доповнити словами ", "Про електронний цифровий підпис" ( 852-15 ), після слів "інформаційних систем" доповнити словами "та з питань функціонування ЕЦП в банківській системі України";

пункт 6 після слова "автоматизації" доповнити словами ", технічної й технологічної підтримки діяльності Засвідчувального центру Національного банку, АЦСК Національного банку, ЦСК банку".

2. У розділі II:

2.1. У главі 1:

пункт 1.1 після слова "діяльності" доповнити словами "та технічної й технологічної підтримки діяльності Засвідчувального центру Національного банку, АЦСК Національного банку, ЦСК банку";

в абзаці першому пункту 1.2 слово "банківські" виключити;

у пункті 1.5:

абзац перший після слова "діяльності" доповнити словами ", вимог законодавства України", після абревіатури "САБ" доповнити словами "та в інформаційній системі ЦСК банку";

абзац другий після цифр "11" доповнити цифрами ", 14";

пункт 1.6 доповнити словами ", інформаційної системи Засвідчувального центру Національного банку, інформаційної системи АЦСК Національного банку";

абзац перший пункту 1.7 після абревіатури "СЕП" доповнити словами ", інформаційної системи Засвідчувального центру Національного банку, інформаційної системи АЦСК Національного банку".

2.2. Главу 6 після пункту 6.11 доповнити новим пунктом такого змісту:

"6.12. У штатному режимі функціонування інформаційної системи ЦСК банку банк формує резервні копії всіх даних, необхідних для відновлення повноцінного функціонування інформаційної системи ЦСК банку. Періодичність формування резервних копій визначається згідно з технологією відновлення функціонування інформаційної системи ЦСК банку.".

У зв'язку з цим пункти 6.12-6.14 уважати відповідно пунктами 6.13-6.15.

2.3. Розділ доповнити новими главами такого змісту:

"Глава 14. Робота інформаційної системи Засвідчувального центру
Національного банку в надзвичайний період

14.1. Національний банк повідомляє АЦСК Національного банку та ЦСК банків про особливості взаємодії їх інформаційних систем з інформаційною системою Засвідчувального центру Національного банку в надзвичайний період.

14.2. Національний банк у разі неможливості відновлення роботи інформаційної системи Засвідчувального центру Національного банку за місцем її штатного функціонування оперативно визначає інший підрозділ Національного банку, у якому буде функціонувати ця інформаційна система (інше територіальне управління, структурна одиниця чи навчальний заклад Національного банку) залежно від обставин.

Національний банк забезпечує в надзвичайний період функціонування інформаційної системи Засвідчувального центру Національного банку відповідно до вимог Регламенту роботи Засвідчувального центру Національного банку.

Глава 15. Робота інформаційної системи
АЦСК Національного банку в надзвичайний період

15.1. Національний банк повідомляє підписувачів про особливості їх взаємодії з інформаційною системою АЦСК Національного банку в надзвичайний період.

15.2. Національний банк в разі неможливості відновлення роботи інформаційної системи АЦСК Національного банку за місцем її штатного функціонування оперативно визначає інший підрозділ Національного банку, у якому буде функціонувати ця інформаційна система (інше територіальне управління, структурна одиниця чи навчальний заклад Національного банку) залежно від обставин.

Національний банк забезпечує в надзвичайний період функціонування інформаційної системи АЦСК Національного банку відповідно до вимог Регламенту роботи АЦСК Національного банку.

Глава 16. Робота інформаційної системи ЦСК банку
в надзвичайний період

16.1. Банк повідомляє підписувачів про особливості їх взаємодії з інформаційною системою ЦСК банку в надзвичайний період.

16.2. Банк у разі неможливості відновлення роботи інформаційної системи ЦСК банку за місцем свого штатного функціонування розгортає програмно-технічний комплекс ЦСК банку у віддаленому резервному пункті.

Банк забезпечує в надзвичайний період функціонування інформаційної системи ЦСК банку відповідно до вимог Регламенту роботи ЦСК банку.

16.3. Банк, який користується послугами ЕЦП ЦСК іншого банку чи центру сертифікації ключів, що є окремою юридичною особою, зобов'язаний у договорі з відповідним центром сертифікації ключів передбачити порядок його взаємодії з інформаційною системою такого ЦСК під час надзвичайних ситуацій.".

3. У розділі III:

3.1. Пункт 1.2 глави 1 після слів "функціонування САБ" доповнити словами "та інформаційної системи ЦСК банку", після слів "роботи САБ" доповнити словами "та/або інформаційної системи ЦСК банку".

3.2. У главі 2:

пункти 2.1 та 2.2 після абревіатури "САБ" доповнити словами "та інформаційної системи ЦСК банку";

абзац другий пункту 2.3 після слів "відновлення функціонування САБ" доповнити словами "та інформаційної системи ЦСК банку" і після слів "штатного функціонування САБ" доповнити словами "та/або інформаційної системи ЦСК банку";

пункт 2.6 викласти в такій редакції:

"2.6. Для розроблення ефективного Плану щодо належного забезпечення функціонування інформаційних технологій банку має бути в наявності повна інформація про САБ та інформаційну систему ЦСК банку, їх функції та користувачів. Слід оцінити ступінь можливого ризику в кожному елементі цих систем, визначити критичні ланки систем і першочергову увагу під час відновлення функціонування систем має бути приділено саме їм.";

у пункті 2.7:

абзац перший викласти в такій редакції:

"2.7. Експлуатаційна документація до САБ та інформаційної системи ЦСК банку повинна містити такі відомості:";

в абзаці дев'ятому слово "системи" замінити словом "систем", доповнити цей абзац словами "та інформаційної системи ЦСК банку".

3.3. У главі 3:

назву глави замінити на "Класифікація рівнів руйнування САБ та інформаційної системи ЦСК банку і заходи щодо відновлення їх функціонування";

у пункті 3.4 абревіатуру "САБ" замінити словами "САБ/інформаційної системи ЦСК банку".

3.4. У главі 4:

назву глави замінити на "Вимоги до САБ та інформаційної системи ЦСК банку, а також до системи резервування й відновлення роботи САБ та інформаційної системи ЦСК банку";

абзац перший пункту 4.1 після абревіатури "САБ" доповнити словами "та інформаційної системи ЦСК банку";

абзац перший пункту 4.2 після абревіатури "ВМПС" доповнити словами ", інформаційної системи ЦСК банку";

пункт 4.3 після слова "операції" доповнити словами "та операції, пов'язані з функціонуванням інформаційної системи ЦСК банку,";

пункт 4.4 викласти в такій редакції:

"4.4. Обов'язковою вимогою під час відновлення роботи є відображення в балансі всіх операцій, які були виконані банком перед руйнуванням через платіжні системи, учасником яких є цей банк.

Обов'язковою вимогою під час відновлення роботи інформаційної системи ЦСК банку є відображення всіх операцій, які були виконані інформаційною системою ЦСК банку перед руйнуванням.

На випадок втрати під час руйнування інформації про такі операції мають бути передбачені засоби введення до баз даних інформації про фактично виконані операції.";

пункти 4.5, 4.6 після абревіатури "САБ" доповнити словами ", інформаційної системи ЦСК банку".

3.5. У главі 5:

пункт 5.1 після абревіатури "САБ" доповнити словами "та інформаційної системи ЦСК банку";

абзац четвертий пункту 5.3 після абревіатури "САБ" доповнити словами "та інформаційної системи ЦСК";

пункт 5.6 після абревіатури "САБ" доповнити словами "та/або інформаційної системи ЦСК банку".

3.6. Главу 8 доповнити новими пунктами такого змісту:

"8.4. Для оперативного відновлення функціонування інформаційної системи ЦСК банку в потрібному обсязі слід мати в актуальному стані такі дані:

нормативно-довідкову інформацію;

програмне забезпечення інформаційної системи ЦСК банку;

реєстр ЦСК банку;

ключову систему інформаційної системи ЦСК банку.

8.5. Для відновлення функціонування інформаційної системи ЦСК банку в повному обсязі потрібно мати останню резервну копію реєстру ЦСК банку і архів усіх операцій, здійснених після формування останньої резервної копії реєстру ЦСК банку.

8.6. Якщо немає архіву всіх операцій, здійснених після формування останньої резервної копії реєстру ЦСК банку, то можливе відновлення функціонування інформаційної системи ЦСК банку в повному обсязі з частковою втратою попередніх операцій. Для цього після відновлення функціонування інформаційної системи ЦСК банку виконуються такі дії:

а) відновлюється стан реєстру ЦСК банку на момент формування останньої наявної резервної копії реєстру ЦСК банку;

б) наново виконуються операції, які були здійснені після формування останньої резервної копії реєстру ЦСК банку, але не увійшли до архіву операцій. Для визначення змісту таких операцій використовуються первинні паперові документи. Для відновлення може використовуватися тільки достовірна інформація.

Оскільки можуть існувати операції, інформація про які втрачена, то стан інформаційної системи ЦСК банку, відновленого за такою схемою, може не збігатися зі станом інформаційної системи ЦСК банку безпосередньо перед руйнуванням.

Після відновлення роботи з частковою втратою операцій слід повідомити підписувачів про відновлення роботи із зазначенням часу, станом на який здійснено повне відновлення, і переліку операцій, які вважаються здійсненими після цього зазначеного часу. Операції, які були здійснені до руйнування, але втрачені під час відновлення, підлягають повторному виконанню.".

3.7. Розділ після глави 8 доповнити новою главою такого змісту:

"Глава 9. Порядок відновлення функціонування
інформаційної системи ЦСК банку

9.1. Банк відновлює функціонування інформаційної системи ЦСК банку з урахуванням вимог законодавства України в частині виконання обов'язків ЦСК банку.

9.2. Банк відновлює функціонування інформаційної системи ЦСК банку в такому порядку:

відновлення функціонування інформаційної системи ЦСК банку в частині забезпечення надання послуг визначення статусу сертифікатів відкритих ключів користувачам послуг ЕЦП;

відновлення функціонування інформаційної системи ЦСК банку в частині забезпечення цілодобового доступу користувачів послуг ЕЦП до сертифікатів відкритих ключів через загальнодоступні телекомунікаційні канали;

відновлення функціонування інформаційної системи ЦСК банку в частині забезпечення цілодобового приймання заяв в електронному вигляді (якщо це передбачено Регламентом роботи ЦСК банку) про зміну статусу сертифікатів відкритих ключів підписувачів;

відновлення функціонування інформаційної системи ЦСК банку в частині забезпечення надання послуг фіксування часу;

відновлення функціонування інформаційної системи ЦСК банку в частині забезпечення приймання та опрацювання заяв в електронному вигляді (якщо це передбачено Регламентом роботи ЦСК банку) про формування сертифікатів відкритих ключів підписувачів.".

У зв'язку з цим главу 9 уважати главою 10.

Начальник Управління захисту інформації Д.О.Лук'янов