Об утверждении Правил из технической защиты информации для помещений банков, у которых обрабатываются электронные банковские документы

ПРАВЛIННЯ НАЦIОНАЛЬНОГО БАНКУ УКРАЇНИ<br> <br> ПОСТАНОВА<br> <br> 04.07.2007 N 243<br> <br> Зареєстровано в Міністерстві<br> юстиції України<br> 17 серпня 2007 р.<br> за N 955/14222<br> <br> <br> Про затвердження Правил<br> з технічного захисту інформації<br> для приміщень банків, у яких обробляються<br> електронні банківські документи<br> <br> <br> Відповідно до статті 7 Закону України "Про Національний банк<br>України" ( <A HREF="55152">679-14</A> ), статті 66 Закону України "Про банки і<br>банківську діяльність" ( <A HREF="76203">2121-14</A> ) і статті 38 Закону України "Про<br>платіжні системи та переказ коштів в Україні" ( <A HREF="80552">2346-14</A> ) та з<br>метою встановлення вимог з технічного захисту інформації для<br>приміщень банків, у яких обробляються електронні банківські<br>документи, Правління Національного банку України<br>ПОСТАНОВЛЯЄ:<br> <br> 1. Затвердити Правила з технічного захисту інформації для<br>приміщень банків, у яких обробляються електронні банківські<br>документи (додаються).<br> <br> 2. Виключити <a name="RIII"></a>розділ III Положення про вимоги щодо технічного<br>стану та організації охорони приміщень банків України,<br>затвердженого постановою Правління Національного банку України від<br>17.09.2003 N 403 ( <A HREF="145831">z0925-03</A> ), зареєстрованого в Міністерстві<br>юстиції України 13.10.2003 за N 925/8246 (зі змінами).<br> <br> 3. Департаменту інформатизації (А.С.Савченко) після державної<br>реєстрації в Міністерстві юстиції України довести зміст цієї<br>постанови до відома центрального апарату, структурних підрозділів<br>і одиниць, територіальних управлінь, навчальних закладів<br>Національного банку України та банків України для використання в<br>роботі.<br> <br> 4. Контроль за виконанням цієї постанови покласти на<br>заступника Голови Національного банку України П.М.Сенища.<br> <br> 5. Постанова набирає чинності через один місяць після<br>державної реєстрації в Міністерстві юстиції України.<br> <br> Голова В.С.Стельмах<br> <br> <br> ЗАТВЕРДЖЕНО<br> Постанова Правління<br> Національного банку України<br> 04.07.2007 N 243<br> <br> Зареєстровано в Міністерстві<br> юстиції України<br> 17 серпня 2007 р.<br> за N 955/14222<br> <br> <br> ПРАВИЛА<br> з технічного захисту інформації<br> для приміщень банків, у яких обробляються<br> електронні банківські документи<br> <br> <br> <a name="G1"></a>Глава 1. Загальні положення<br> <br> 1.1. Ці Правила розроблені відповідно до Законів України "Про<br>Національний банк України" ( <A HREF="55152">679-14</A> ), "Про банки і банківську<br>діяльність" ( <A HREF="76203">2121-14</A> ), "Про інформацію" ( <A HREF="6099">2657-12</A> ), "Про захист<br>інформації в інформаційно-телекомунікаційних системах"<br>( <A HREF="14947">80/94-ВР</A> ).<br> <br> 1.2. Вимоги цих Правил поширюються на приміщення центрального<br>апарату, структурних підрозділів і одиниць, територіальних<br>управлінь, навчальних закладів Національного банку України (далі -<br>Національний банк), банків України та їх відокремлених підрозділів<br>(далі - банки), у яких обробляються електронні банківські<br>документи, що містять відомості з грифом "Банківська таємниця", та<br>інша електронна інформація, доступ до якої обмежений банком, а<br>також на приміщення банків, що заново будуються, реконструюються<br>або проектна документація на які не була затверджена до набрання<br>чинності цим Положенням.<br> <br> 1.3. У цих Правилах терміни вживаються в таких значеннях:<br> приміщення з обмеженим доступом - приміщення, у яких<br>розташовані робочі місця з комп'ютерною технікою, обробляються<br>електронні банківські документи, що містять відомості з грифом<br>"Банківська таємниця", та інша електронна інформація, доступ до<br>якої обмежений банком;<br> комутаційні кімнати - приміщення, у яких розташовано<br>телекомунікаційне обладнання, що забезпечує функціонування<br>локальних і корпоративних мереж банку, а також зв'язок з іншими<br>установами та мережами загального користування;<br> серверні приміщення - приміщення, у яких розташовані сервери<br>баз даних, сервери прикладних програм, файлові сервери тощо, на<br>яких обробляються та зберігаються електронні банківські документи<br>і бази даних.<br> Iнші терміни, що використовуються у цих Правилах, уживаються<br>в значеннях, визначених нормативно-правовими актами з питань<br>технічного захисту інформації.<br> <br> 1.4. Ці Правила встановлюють вимоги до систем електроживлення<br>та заземлення, мережевого обладнання, приміщень з обмеженим<br>доступом, комутаційних кімнат, серверних приміщень, приміщень, у<br>яких зберігаються електронні архіви (далі - приміщення електронних<br>архівів).<br> <br> 1.5. За порушення банками вимог цих Правил Національний банк<br>має право застосувати заходи впливу відповідно до законодавства<br>України.<br> <br> <a name="G2"></a>Глава 2. Вимоги до приміщень з обмеженим доступом<br> <br> 2.1. Приміщення з обмеженим доступом визначаються внутрішнім<br>документом банку з урахуванням особливостей організації робіт з<br>електронними банківськими документами та із зазначенням прізвищ,<br>імен та по батькові відповідальних працівників банку.<br> <br> 2.2. Приміщення з обмеженим доступом не можуть бути<br>прохідними та мають розташовуватися таким чином, щоб унеможливити<br>перебування інших осіб без супроводу відповідальних працівників<br>банку.<br> <br> 2.3. Приміщення з обмеженим доступом слід обладнувати дверима<br>з кодовим механічним замком або системою розмежування доступу та<br>механічним замком.<br> <br> 2.4. Приміщення з обмеженим доступом слід обладнувати<br>охоронною сигналізацією, виведеною на пост власної служби охорони<br>банку та/або суб'єкта охорони банку.<br> <br> 2.5. Екрани дисплеїв комп'ютерів у таких приміщеннях слід<br>розміщувати таким чином, щоб унеможливити ознайомлення з<br>інформацією, яка виводиться на них, іншими особами (у тому числі<br>крізь вікна, скляні огорожі тощо).<br> <br> <a name="G3"></a>Глава 3. Вимоги до комутаційних кімнат<br> <br> 3.1. До комутаційних кімнат належать приміщення, у яких<br>установлено комутаційне обладнання, що виконує функції управління<br>мережами банку та зв'язком з іншими установами і мережами<br>загального користування.<br> <br> 3.2. Комутаційні кімнати слід обладнувати як приміщення з<br>обмеженим доступом.<br> <br> 3.3. Комутаційні кімнати не повинні містити робочі місця для<br>працівників банку.<br> <br> 3.4. У кожній комутаційній кімнаті повинен вестися журнал на<br>паперових носіях, у якому відображаються:<br> дата та час відкриття і закриття кімнати;<br> прізвище працівника, який відвідав кімнату;<br> опис проведених робіт.<br> <br> 3.5. У разі розташування комутаційного обладнання в<br>комутаційних шафах, які розташовані в коридорах або інших<br>приміщеннях банку, такі шафи мають бути обладнані датчиками на<br>відкриття і пожежними датчиками з виведенням їх сигналів на робочі<br>місця осіб, які відповідають за мережеве обладнання, або на пульт<br>служби централізованої охорони. Допускається обладнання<br>комутаційних шаф замість датчиків на відкриття засобами для<br>опечатування з обов'язковою перевіркою цілісності відбитків<br>печаток не рідше одного разу на тиждень.<br> <br> <a name="G4"></a>Глава 4. Вимоги до серверних приміщень і приміщень<br> електронних архівів<br> <br> 4.1. Технічний захист інформації в серверних приміщеннях і<br>приміщеннях електронних архівів здійснюється за допомогою<br>екранування приміщення або використання екранованих шаф,<br>екранованих сейфів (клас опору до злому не нижче II), екранованих<br>кабін з метою запобігання витоку інформації через побічні<br>випромінювання і наводи, а також від порушення її цілісності<br>внаслідок впливу зовнішніх електромагнітних полів (або зменшення<br>такого впливу).<br> <br> 4.2. Забороняється розміщення робочих місць працівників банку<br>в серверних приміщеннях.<br> <br> 4.3. Допускається використання екранованих шаф (сейфів) для<br>розміщення серверів баз даних, серверів прикладних задач тощо, а<br>також електронних архівів у приміщеннях з обмеженим доступом. У<br>разі використання екранованих шаф (сейфів) вони повинні мати<br>сертифікат відповідності, виданий Державною службою спеціального<br>зв'язку та захисту інформації України.<br> <br> 4.4. Серверні приміщення та приміщення електронних архівів<br>рекомендується розташовувати у віддалених один від одного кінцях<br>будівлі. Якщо є така змога, ці приміщення розташовують у<br>внутрішній частині будівлі або з боку внутрішнього двору.<br> <br> 4.5. Серверні приміщення та приміщення електронних архівів<br>рекомендується розташовувати в приміщеннях без вікон. Це не<br>поширюється на старі приміщення, що реконструюються, та на<br>неекрановані приміщення, у яких установлені екрановані шафи<br>(сейфи).<br> <br> 4.6. Для запобігання несанкціонованому доступу до серверних<br>приміщень та приміщень електронних архівів їх двері повинні бути<br>обладнані автоматизованою системою доступу або кодовим замком, не<br>менше ніж двома рубежами охоронної сигналізації, кожний з яких<br>підключений окремими кодами до приймально-контрольних приладів,<br>установлених на посту охорони банку та/або суб'єкта охорони банку.<br> <br> 4.7. Серверні приміщення та приміщення електронних архівів<br>мають бути обладнані системою оповіщення під час пожежі та<br>автоматичною системою газового пожежогасіння. Внутрішні поверхні<br>цих приміщень облицьовуються пожежобезпечними матеріалами, що<br>відповідають санітарно-гігієнічним вимогам.<br> <br> 4.8. З метою недопущення проникнення через повітропроводи<br>системи вентиляції та канали для введення кабелів і комунікацій до<br>серверних приміщень і приміщення електронних архівів сторонніх<br>речовин їх слід обладнати вогнетривкими пробками чи вогнетривкими<br>аварійними заслінками.<br> <br> 4.9. Серверні приміщення та приміщення електронних архівів<br>обладнуються централізованою або окремою системою<br>припливно-витяжної вентиляції з очищенням від пилу та окремою<br>системою автоматичного кондиціювання