ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ

ПОСТАНОВА
14.09.2018 N 99

Про затвердження Положення про порядок формування, зберігання
та знищення відокремлених електронних даних, отриманих
за результатами роботи інформаційних систем
у Національному банку України і банках України

Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 66 Закону України "Про банки і банківську діяльність", з метою вдосконалення нормативно-правових актів у сфері забезпечення безперервного, надійного функціонування платіжних та облікових систем, систем автоматизації банківської діяльності Правління Національного банку України постановляє:

1. Затвердити Положення про порядок формування, зберігання та знищення відокремлених електронних даних, отриманих за результатами роботи інформаційних систем у Національному банку України і банках України, що додається.

2. Визнати такими, що втратили чинність:

1) постанову Правління Національного банку України від 12 вересня 2006 року N 357 "Про затвердження Положення про порядок формування, зберігання та знищення електронних архівів у Національному банку України і банках України", зареєстровану в Міністерстві юстиції України 03 жовтня 2006 року за N 1089/12963;

2) підпункт 1.25 пункту 1 постанови Правління Національного банку України від 08 жовтня 2010 року N 457 "Про внесення змін до деяких нормативно-правових актів Національного банку України", зареєстрованої в Міністерстві юстиції України 13 грудня 2010 року за N 1249/18544.

3. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Холода С.В.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

Голова Я.В. Смолій

Затверджено
Постанова Правління
Національного банку України
14.09.2018 N 99

Положення
про порядок формування, зберігання та знищення
відокремлених електронних даних,
отриманих за результатами роботи інформаційних систем
у Національному банку України і банках України

I. Загальні положення

1. Це Положення розроблене відповідно до Закону України "Про Національний банк України" та встановлює загальний порядок формування, обліку, використання, зберігання та знищення відокремлених електронних даних, отриманих за результатами роботи інформаційної системи, у Національному банку України (далі - Національний банк) та банках України (далі - банк).

Вимоги цього Положення не поширюються на порядок формування, зберігання та знищення електронних документів, що створюються Національним банком та банками. Порядок формування, зберігання та знищення електронних документів, що створюються Національним банком та банками, визначається законами України, нормативно-правовими актами Національного банку у сфері діловодства та архівної справи.

2. У цьому Положенні терміни вживаються в такому значенні:

1) банк - банк України, його філія, представництво, відділення;

2) відокремлені електронні дані, отримані за результатами роботи інформаційної системи (далі - ВЕД) - відокремлені від обчислювального процесу, у якому вони створені, електронні дані в незмінному вигляді. Метою збереження ВЕД є подальше отримання інформації з них у разі потреби;

3) електронні дані - будь-яка інформація в електронній формі;

4) інформаційна система (далі - ІС) - комплекс програмно-апаратних засобів, який використовується для автоматизації діяльності Національного банку та/або банків;

5) незмінний вигляд даних - форма представлення даних, що дає змогу перевіряти їх ідентичність через перевірку цілісності.

3. Інші терміни в цьому Положенні вживаються в значеннях, установлених законами та нормативно-правовими актами України.

4. Національний банк/банки розробляють власні розпорядчі акти/внутрішні документи стосовно правил зберігання ВЕД з урахуванням внутрішньобанківської технології оброблення електронних даних на підставі цього Положення, специфіки організації діяльності, характеристик технічних і програмних засобів, що функціонують у ній.

II. Загальні правила формування ВЕД

5. Структура та зміст ВЕД визначаються технологією роботи ІС та:

1) внутрішніми документами банків - для банків;

2) розпорядчими актами Національного банку - для Національного банку.

6. Методичне супроводження з питань формування ВЕД здійснюють розробники ІС або підрозділи Національного банку/банків, які супроводжують роботу ІС. Процедура перевірки цілісності ВЕД визначається власником інформації та реалізується розробниками ІС або підрозділами Національного банку/банків, які супроводжують роботу зазначених ІС через надання підрозділам, що здійснюють експлуатацію зазначених ІС та забезпечують зберігання ВЕД відповідних засобів перевірки ідентичності даних.

7. Формування ВЕД у незмінний вигляд для подальшого зберігання виконують підрозділи Національного банку/банків, які здійснюють експлуатацію зазначених ІС.

8. Документування, технічне супроводження процесу запису/відновлення ВЕД на електронні носії, зберігання і видавання ВЕД у Національному банку покладаються на відповідний відділ у складі підрозділу інформаційних технологій, а в банках - на структурний підрозділ (департамент, управління, відділ, сектор) інформаційного забезпечення (інформаційних технологій) або фахівця з інформаційних технологій, на якого покладається виконання функцій структурного підрозділу інформаційного забезпечення (далі - Служба інформаційного забезпечення).

9. ВЕД зберігаються на електронних носіях.

10. Національний банк/банки повинні забезпечувати захист інформації з обмеженим доступом на всіх етапах формування, оброблення, зберігання та знищення ВЕД.

III. Порядок роботи з ВЕД

11. Підрозділи Національного банку/банків, які здійснюють експлуатацію ІС, формують ВЕД для подальшого передавання Службі інформаційного забезпечення.

12. Служба інформаційного забезпечення виконує такі дії з отримання, зберігання, видавання та знищення ВЕД:

1) отримує ВЕД після їх формування в незмінний вигляд для подальшого запису на електронні носії. ВЕД уважаються отриманими для подальшого запису на електронні носії після успішної перевірки цілісності;

2) записує ВЕД, отримані відповідно до підпункту 1 пункту 12 розділу III цього Положення, на електронні носії для подальшого зберігання. ВЕД уважаються записаними на електронні носії для подальшого зберігання після виконання процедури відновлення з електронних носіїв та успішної перевірки цілісності відновлених даних;

3) переміщує носії з ВЕД, записані в спосіб, наведений у підпункті 2 пункту 12 розділу III цього Положення, до місць зберігання, які відповідають вимогам, наведеним у розділі IV цього Положення;

4) уносить до номенклатури справ підрозділу Національного банку/банків справу для формування документів, що створюються в процесі роботи з носіями ВЕД, а саме: актів про введення в експлуатацію електронних носіїв, актів про перевірку цілісності ВЕД, актів про знищення та перезапис ВЕД, запитів на отримання ВЕД. Строк зберігання документів, які створюються в процесі роботи з носіями ВЕД, установлюються нормативно-правовим актом Національного банку, який визначає перелік документів, що утворюються в діяльності Національного банку та банків із зазначенням строків зберігання;

5) видає ВЕД у порядку, передбаченому в розділі VI цього Положення;

6) знищує ВЕД у порядку, передбаченому в розділі VII цього Положення.

IV. Вимоги до приміщень,
у яких розміщуються електронні носії з ВЕД

13. Приміщення для зберігання електронних носіїв з ВЕД має бути обладнано відповідно до вимог Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи, затверджених постановою Правління Національного банку України від 04 липня 2007 року N 243, зареєстрованих у Міністерстві юстиції України 17 серпня 2007 року за N 955/14222 (зі змінами).

14. Національний банк/банки в разі виникнення надзвичайної ситуації зобов'язаний/зобов'язані вжити всіх необхідних заходів для збереження ВЕД.

V. Порядок зберігання ВЕД

15. Служба інформаційного забезпечення створює необхідну кількість копій ВЕД для забезпечення відновлення інформації хоча б з однієї з них за умови пошкодження інших унаслідок впливу технічних факторів під час зберігання.

16. Служба інформаційного забезпечення здійснює вибір електронних носіїв для зберігання ВЕД з урахуванням таких критеріїв:

1) терміну зберігання ВЕД;

2) надійного строку зберігання даних на електронному носії;

3) можливості переміщення носіїв до місць зберігання, які відповідають вимогам, зазначеним у розділі IV цього Положення.

17. Національний банк/банки забезпечують Службу інформаційного забезпечення необхідною комп'ютерною технікою, обладнанням і програмним забезпеченням, які підтримують можливість роботи з усіма електронними носіями та форматами запису, що мають використовуватися під час запису ВЕД.

18. Служба інформаційного забезпечення в разі зміни програмно-апаратної платформи, що використовується для запису/читання ВЕД, на нову, яка не дозволяє читання носіїв, записаних за допомогою попередньої версії, виконує перенесення записаних ВЕД на електронні носії таким чином:

1) відновлює ВЕД з носіїв засобами версії програмно-апаратної платформи, що дозволяє читання;

2) записує відновлені ВЕД засобами нової версії програмно-апаратної платформи;

3) відновлює ВЕД, записані засобами нової версії програмно-апаратної платформи;

4) перевіряє цілісність ВЕД, відновлених засобами нової версії програмно-апаратної платформи даних;

6) складає акт виконаних робіт.

19. Перевірка цілісності носіїв з ВЕД виконується щонайменше раз на рік у такому порядку:

1) керівник підрозділу інформаційних технологій Національного банку/керівник структурного підрозділу (департаменту, управління, відділу, сектору) інформаційного забезпечення (інформаційних технологій) банку (далі -керівник підрозділу інформаційних технологій) за ініціативою Служби інформаційного забезпечення створює комісію з перевірки цілісності ВЕД (далі - Комісія). До складу Комісії залучаються відповідальні представники підрозділів, які мають засоби отримання інформації з ВЕД (далі - члени Комісії);

2) Служба інформаційного забезпечення за дорученням Комісії перевіряє всі електронні носії з ВЕД на можливість читання з них даних та надає вибірково відновлені ВЕД членам Комісії для перевірки;

3) члени Комісії перевіряють цілісність і можливість читання інформації з ВЕД, отриманих у спосіб, наведений у підпункті 2 пункту 19 розділу V цього Положення;

4) Служба інформаційного забезпечення в разі виявлення порушення цілісності ВЕД здійснює перезапис копії ВЕД з резервного електронного носія в порядку, зазначеному в пункті 21 розділу V цього Положення;

5) за результатами роботи Комісії складається акт, який підписується усіма членами Комісії.

20. Служба інформаційного забезпечення в разі закінчення надійного строку зберігання електронного носія з ВЕД, строк зберігання яких ще не закінчився, здійснює перезапис цих ВЕД у порядку, зазначеному в пункті 21 розділу V цього Положення.

21. Служба інформаційного забезпечення здійснює перезапис ВЕД з одного носія на другий у такому порядку:

1) відновлює копію ВЕД з носія, з якого виконується перезапис ВЕД;

2) записує копію ВЕД, отриману в спосіб, наведений у підпункті 1 пункту 21 розділу V цього Положення на носій, на який виконується перезапис ВЕД;

3) відновлює копію ВЕД, записану в спосіб, наведений у підпункті 2 пункту 21 розділу V цього Положення;

4) перевіряє цілісність ВЕД, відновлених у спосіб, наведений у підпункті 3 пункту 21 розділу V цього Положення.

22. Служба інформаційного забезпечення має промаркувати носії з ВЕД, за винятком жорстких дисків комп'ютерів (серверів) для ідентифікації змісту та строків їх експлуатації. У разі використання спеціалізованої інформаційної системи для запису/читання ВЕД маркування електронних носіїв може виконуватися засобами цієї системи.

VI. Користування ВЕД

23. Відповідальні представники підрозділів Національного банку/банків, які мають засоби отримання інформації з ВЕД (далі - користувачі) отримують копії ВЕД з електронних носіїв на підставі запитів до Служби інформаційного забезпечення, погоджених з керівником підрозділу інформаційних технологій.

24. ВЕД уважаються отриманими користувачами після успішної перевірки цілісності отриманих копій.

VII. Знищення ВЕД

25. Знищення ВЕД , що зберігаються на електронних носіях, проводиться в такому порядку:

1) за ініціативою Служби інформаційного забезпечення створюється комісія в складі не менше трьох осіб;

2) комісія відбирає ВЕД, які підлягають знищенню, та складає акт про відібрання для знищення таких ВЕД. Акт про відібрання для знищення ВЕД погоджується з керівниками підрозділів Національного банку/банків, які здійснювали формування ВЕД;

3) після складання та погодження акта про відібрання для знищення ВЕД комісія знищує ВЕД шляхом застосування однієї або кількох дій:

фізичного руйнування електронного носія;

руйнування інформації на електронному носії з використанням спеціалізованої апаратури для гарантованого знищення інформації;

використання спеціалізованого програмного забезпечення для знищення інформації за допомогою програмних алгоритмів знищення інформації (наприклад, багаторазовий перезапис на електронний носій псевдовипадкових чисел, одиниць, нулів).

26. Електронні носії, що використовувалися для зберігання ВЕД, після знищення ВЕД можуть використовуватися Службою інформаційного забезпечення повторно до закінчення надійного строку їх використання.

Заступник директора департаменту - начальник управління
Департаменту інформаційних технологій І.М. Новак

Погоджено:

Заступник Голови Національного банку України С.В. Холод