5.3.2. Організаційні заходи інформаційної безпеки

        Надійна робота системи захисту неможлива без дотримання адміністративних вимог щодо безпечного використання, зберігання та обліку засобів захисту. Значну увагу слід приділяти, насамперед, розподілу повноважень між службовими особами банківської установи, які беруть участь в обробці міжбанківських електронних розрахункових документів.

       Банківські установи, які працюють в інформаційній мережі, мають виконувати організаційні заходи захисту Інформації згідно з Правилами організації захисту електронних банківських документів в установах, включених до інформаційно-обчислювальної мережі Національного банку України, затвердженими постановою Правління Національного банку

       України віл 10. 06. 99 № 280 та зареєстрованими в Міністерстві юстиції Уіфаши 30. 08. 99 за № 583/3876 [7].

       Усі засоби захисту інформації Національного банку, що використовуються в інформаційній мережі, надаються банківським установам лише службами захисту інформації територіальних управлінь.

       Умовами для надання засобів захисту інформації є:

       - укладення договору про використання криптографічних засобів захисту інформації в інформаційній мережі Національного банку України між банком (філією) та територіальним управлінням тієї області, у якій розташований банк (філія), незалежно' від моделі обслуговування консолідованого кореспондентського рахунку;

       - забезпечення відповідності режимних вимог до приміщень, у яких обробляються електронні банківські документи, використовуються та зберігаються засоби захисту інформації, вимогам, що визначені Правилами;

       - призначення службових осіб, які відповідають за зберігання та використання засобів захисту інформації (копія наказу надасться службі захисту інформації територіального управління);

       - лист-доручення про отримання конкретних засобів захисту інформації [7].

       Засоби захисту інформації для новоствореного банку (філії) виготовляються службою захисту інформації Національного банку на замовлення служби захисту інформації територіального управління. Замовлення на виготовлення засобів захисту інформації має подаватися не пізніше ніж за 10 днів до фактичного включення банку (філії) в СЕМП.

       У разі встановлення особливого режиму контролю за діяльністю банку (робота через АРМ-Ю) він має перейти на програмні засоби захисту інформації та повернути комплект АЗЕГО службі захисту інформації територіального управління протягом трьох робочих днів.

       Після відміни особливого режиму контролю за діяльністю банку (робота через АРМ-Ю) він одержує у службі захисту інформації територіального управління комплект АЗЕГО та переходить на роботу з апаратними засобами захисту інформації.

       У разі ліквідації банку (філії) або його переходу на роботу в СЕП за моделлю обслуговування консолідованого кореспондентського рахунку, яка передбачає використання власної внугрішньо банківської платіжної системи, банк (філія) має повернути засоби захисту інформації службі захисту інформації територіального управління згідно з укладеним договором.

       Банківська установа не має права передавати (навіть тимчасово) засоби захисту інформації іншій установі і несе за це відповідальність. У банківській установі обов'язково в окремому журналі ведеться:

       - облік апаратних та програмних засобів захисту інформації, нормативно-правових актів щодо користування засобами захисту інформації, електронними носіями з ключами (облікові номери - лише виробничі або служби захисту інформації Національного банку);

       — перелік відповідальних осіб, яким передані для користування та зберігання засоби захисту інформації або документи до них;

       - перелік службових осіб, на яких згідно з наказом керівника банківської установи покладено виконання криптографічного захисту електронних банківських документів;

       — одержання пакетів з електронними картками [7].

       Банківська установа веде окрему справу з листування щодо питань захисту інформації.

       Режимні вимоги, що висуваються до приміщень банківських установ -учасників інформаційної мережі, які використовують засоби захисту інформації Національного банку, у яких обробляються електронні банківські документи, використовуються та зберігаються в неробочий час засоби захисту інформації, описані в Правилах.

       Якщо банківська установа працює в інформаційній мережі лише в інформаційних задачах, а для оброблення розрахункових документів використовує власну внугрішньо банківську платіжну систему, то спеціальні режимні вимоги до приміщення з обмеженим доступом, у якому розміщується АРМ-НБУ, не встановлюються. Вимоги щодо організації роботи з криптографічними засобами захисту мають відповідати Правилам.