ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
П О С Т А Н О В А
N 353 від 30.12.96
м.Київ
vd961230 vn353
Про затвердження нормативних документів
( Із змінами, внесеними згідно з Постановою
Національного банку
N 524 ( z0015-02 ) від 17.12.2001 )
Розглянувши нормативні документи, які регламентують порядок
здійснення операцій з платіжними картками Національної системи
масових електронних платежів та систему захисту електронної
інформації, вимоги з питань захисту електронної інформації до
системи масових електронних платежів населення за товари та
послуги в Україні, Правління Національного банку України
П О С Т А Н О В Л Я Є:
( Пункт 1 втратив чинність на підставі Постанови
Національного банку N 524 ( z0015-02 ) від 17.12.2001 )
2. Затвердити "Положення про систему захисту електронної
інформації та вимоги з питань захисту електронної інформації до
системи масових електронних платежів населення за товари та
послуги в Україні" (додаток N 2).
3. Надіслати зазначені нормативні документи Кримському
республіканському, регіональним управлінням Національного банку
України, комерційним банкам та ЗАТ "Укркарт" для керівництва в
роботі.
Голова Правління В.А.Ющенко
Додаток N 1
Затверджено постановою Правління
Національного банку України
від 30 грудня 1996 р. N 353
( Положення про порядок здійснення бухгалтерських операцій з
банківськими платіжними картками Національної системи втратило
чинність на підставі Постанови Національного банку N 524
( z0015-02 ) від 17.12.2001 )
Додаток N 2
Затверджено постановою Правління
Національного банку України
від 30.12.96 р. N 353
Положення
про систему захисту електронної інформації та вимог
з питань захисту електронної інформації до системи
масових електронних платежів населення за товари та
послуги в Україні
1. Загальні положення
Система захисту електронних банківських документів
складається з комплексу апаратно-програмних засобів
криптографічного захисту і ключової системи до них, технологічних,
бухгалтерських та організаційних заходів щодо захисту інформації в
мережі системи масових електронних розрахунків населення за товари
та послуги в Україні.
Система захисту електронних банківських документів у СМЕП має
відповідати таким вимогам:
1.1. Система безпеки роботи СМЕП охоплює всі етапи
розроблення, впровадження та експлуатації програмно-технічного
забезпечення СМЕП.
1.2. Система безпеки роботи СМЕП включає технологічні,
апаратні, програмні засоби та організаційні заходи захисту.
1.3. Система безпеки роботи СМЕП включає чіткий розподіл
відповідальності на кожному етапі підготовки, оброблення та
виконання розрахунків на всіх рівнях, починаючи від виготовлення
електронної картки та запису коштів на картку клієнта банку до
зарахування коштів торговельним установам і обслуговування
(банку еквайра) та зведення щоденного балансу в системі.
2. Основні положення та вимоги до системи захисту СМЕП
Необхідно виділити такі завдання системи захисту СМЕП:
2.1. Захист від злочинних дій (несанкціоноване розшифрування
та викривлення електронних розрахункових документів, поява
фальсифікованих електронних розрахункових документів) на
будь-якому етапі оброблення, від запису коштів на картку клієнта
банку (покупця) до зарахування коштів на рахунки торговельним
установам і обслуговування (банку еквайра).
2.2. Автоматичне ведення протоколу використання для всіх
терміналів і АРМів системи, телекомунікаційної мережі з метою
локалізації джерел появи порушень роботи СМЕП.
2.3. Захист від технічних порушень та збоїв апаратури (у тому
числі збоїв та псування апаратних і програмних засобів, перешкод у
каналах зв'язку), відкат при незавершенні логічної трансакції у
терміналах та АРМах системи.
2.4. Створення таких умов роботи СМЕП, при яких фахівці:
банків-учасників СМЕП, процесингових центрів (Укркарт) та
Національного банку практично не мали змоги втручатись в
оброблення електронних розрахункових документів після їх
формування та забезпечення контролю на кожному етапі оброблення.
3. Технологічні та бухгалтерські засоби безпеки у СМЕП
мають включати такі механізми:
3.1. Захищеного, автоматичного контролю системи (для НБУ) за
емісією (записом) коштів на електронні картки та запобігання
від'ємного ("червоного") сальдо на банківських рахунках.
Враховуючи роботу банків через консолідований кореспондентський
рахунок.
3.2. Ведення, оброблення та звірка підсумкових електронних
платіжних документів у системі (банк - система, процесинговий
центр - регіональні ПЦ та Центральний ПЦ, між СМЕП та іншими
платіжними системами) та ведення балансу за ними.
3.3. Щоденного балансу коштів, що обробляються у системі.
3.4. Аналізу відсутності балансу на всіх рівнях.
3.5. Обміну квитанціями (з кодами завершення), який дає змогу
однозначно ідентифікувати отримання адресатом будь-якого пакета
електронних розрахункових документів та достовірність отриманої
інформації в цьому пакеті на рівні: банк - система, процесингові
центри між собою та Центральним ПЦ, банк - термінал.
3.6. Квитовки та/або контролю правильного завершення
трансакції при передачі повідомлень у телекомунікаційній мережі
системи.
3.7. Запобігання подвоєнню (загубленню) електронних платежів
та відкат при незавершенні логічної трансакції у терміналах
системи.
3.8. Самодіагностики, які дають змогу виділяти порушення
цілісності або несуперечності баз даних, програмного забезпечення
РПЦ, банків-учасників СМЕП, зіпсування яких може спричинитися
через збій функціонування системи, спроб несанкціонованого доступу
або фізичного зіпсування баз даних.
3.9. Взаємообміну між РПЦ та ЦПЦ звітними повідомленнями про
функціонування РПЦ, а також випадків збоїв оброблення документів у
банку, терміналах (on-line) та роботи у всій системі.
3.10. Автоматичного контролю програмних засобів щодо
несанкціонованого модифікування робочих модулів ПЦ та АРМ банків.
3.11. Формування та захист Stop-list від несанкціонованої
модифікації або заміни, зручного користування та управління ними.
Усі технологічні засоби контролю вбудовані у програмне
забезпечення, вони не можуть бути заблоковані, а у разі виникнення
нестандартної ситуації або підозри на несанкціонований доступ вони
повідомляють працівників РПЦ, ЦПЦ та службу захисту, що дає змогу
оперативно втручатись у таку ситуацію.
4. Бухгалтерські засоби контролю включають:
4.1. Підсумкові документи, які містять повну технологічну та
бухгалтерську інформацію та аналіз балансу банку, РПЦ.
4.2. Підсумкові документи ЦПЦ, які містять бухгалтерську
інформацію про стан СМЕП в Україні.
4.3. Засоби аналізу причин відсутності балансу за кожним
банком, процесинговим центром та системою в межах України.
5. Криптографічний захист інформації у СМЕП
5.1. Реалізація апаратно-програмних засобів криптографічного
захисту виконується з урахуванням вимог міжнародних стандартів та
передбачає позитивні експертні оцінки (сертифікати) державних
служб України.
Криптографічний захист інформації в СМЕП виконується на двох
рівнях:
5.2. Від зовнішніх чинників, які можуть застосовувати новітні
методи впливу - за допомогою розміщення алгоритму шифрування у
кристалі мікропроцесора (маска) та необхідних комплектів ключів у
захищеній директорії ядра ОС. Обмін криптованою інформацією між
електронними картками покупця і продавця, карткою покупця і
банкоматом, банкоматом (терміналом) і банком. Ця технологія
забезпечує гарантований захист електронних повідомлень від
перейняття, нав'язування, підробки та викривлення їх внаслідок
зовнішнього впливу, підтримує абсолютну достовірність
повідомлень, використовуючи імітовставки алгоритму ГОСТ 28147-89
та електронного цифрового підпису (системи та імітента).
5.3. Пакети платіжних документів та повідомлень у системі
(між банком і РПЦ, між РПЦ і ЦПЦ, між банком і його терміналами)
мають захищатись апаратно-програмним криптуванням (модулі безпеки
системи), алгоритмом ГОСТ 28147-89, електронним цифровим підписом
(на симетричних ключах ГОСТ 28147-89, ISO 11166-94 або Р.34.10-94,
Р.34.11-94).
5.4. Від внутрішніх чинників, які мають місце у СМЕП, за
допомогою використання службових електронних карток на кожному
робочому місці, де обробляється платіжна або конфіденційна
інформація системи. Службові ЕК зберігають ключі, паролі,
ідентифікатори у шифрованому вигляді для забезпечення
санкціонованого доступу до роботи АРМів, баз даних та ведення
протоколів роботи службової особи, що гарантує неможливість
підробки ключової інформації та її надійний захист від
несанкціонованого використання у разі виконання адміністративних
вимог щодо зберігання та використання службових електронних
карток.
5.5. Записи у бази даних процесингових центрів, банківських
установ, записи в особистих рахунках клієнтів супроводжуються
накладанням електронного цифрового підпису, а при зчитуванні таких
записів автоматична перевірка їх електронного цифрового підпису.
5.6. При роботі засобів шифрування банківської інформації
ведеться шифрований архів оброблених електронних розрахункових
документів (терміналів, банкоматів, АРМ банків та процесингових
центрів). Наприкінці робочого дня шифрований архів обов'язково
переписується на магнітні носії. Шифрований архів використовується
для надання інформаційно-арбітражних послуг, що їх здійснює служба
захисту електронних банківських документів Національного банку
України.
5.7. Генерація ключів для апаратури захисту, сертифікація
відкритих ключів несиметричних алгоритмів криптування та
управління ключовою системою захисту покладається на службу
захисту інформації Національного банку України.
Це Положення про систему захисту електронної інформації та
вимоги до системи масових електронних платежів (СМЕП) населення
за товари та послуги в Україні є нормативним документом
Національного банку України для комерційних установ, що працюють
над створенням системи.
Директор департаменту інформатизації
Національного банку України А.С.Савченко
Начальник відділу захисту інформації
департаменту інформатизації НБУ І.А.Безбородько
( Виправлення внесені згідно з додатковою інформацією "Офіційного
вісника України" 1997, число 8, книга друга)