Положение о защите информации в автоматизированной системе банковских технологий и ответственности должностных лиц за выполнение этих правил в расчетно-кассовых центрах (Зарегистрировано МЮ 30.10.1998 г. N 516, утверждено ЦБ 25.07.1998 г. N 413)

Функция недоступна

ЗАРЕГИСТРИРОВАНО

МИНИСТЕРСТВОМ ЮСТИЦИИ

РЕСПУБЛИКИ УЗБЕКИСТАН

30.10.1998 г.

N 516

УТВЕРЖДЕНО

ПРАВЛЕНИЕМ

ЦЕНТРАЛЬНОГО БАНКА

РЕСПУБЛИКИ УЗБЕКИСТАН

25.07.1998 г.

N 413

ПОЛОЖЕНИЕ

о защите информации в автоматизированной

системе банковских технологий и ответственности

должностных лиц за выполнение этих правил

в расчетно-кассовых центрах

Настоящее Положение разработано в соответствии с постановлением Кабинета Министров от 19 января 1994 года N 15 "О предложениях Центрального банка Республики Узбекистан" и вводится в целях защиты информации, отраженной в балансах расчетно-кассовых центров и платежных документах, проведенных расчетно-кассовыми центрами через систему электронных платежей.

I. ОРГАНИЗАЦИЯ ОБРАБОТКИ

ОПЕРАЦИОННОГО ДНЯ БАНКА НА ПЭВМ

1.1. Во всех расчетно-кассовых центрах (РКЦ) для обработки данных операционного дня банка должна применяться сетевая программа операционного дня банка, выполняющая все технологические процессы в соответствии с требованиями программ ОДБ, включая печать мемориальных ордеров, и отвечающая требованиям нормативных документов, разработанных в Центральном банке Республики Узбекистан.

1.2. Рабочие станции, установленные у каждого ответисполнителя, начальников отделов, заместителей главных бухгалтеров, должны иметь именные пароли к этим рабочим станциям, при этом рабочие станции сотрудников, имеющих доступ к глобальной вычислительной сети, должны быть оборудованы идентификаторами доступа к данным сетям.

1.3. Главный сервер РКЦ должен программно формировать файлы сверки правильности остатков внутреннего корсчета РКЦ с остатком корсчета в Центре расчетов Центрального банка и электронных платежных документов в установленном порядке.

1.4. Программное ежедневное архивирование всего комплекса операционного дня банка производится с нарастающим итогом с начала года. Срок хранения архива - 10 лет.

1.5. Расчетно-кассовый центр создает минимально по два запасных пункта архивного хранения информации, где должны храниться копии его архивов.

II. ОРГАНИЗАЦИЯ ОПЕРАЦИОННОГО ДНЯ БАНКА

И ОСУЩЕСТВЛЕНИЕ МЕЖБАНКОВСКИХ РАСЧЕТОВ

ЧЕРЕЗ СИСТЕМУ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ

2.1. Каждый РКЦ обязан создать структуру по организации операционного дня банка и по осуществлению межбанковских расчетов через систему электронных платежей согласно приложениям N 1 и N 2.

2.2. Руководители, главные бухгалтера РКЦ несут персональную ответственность за законность и за сохранность информации, отраженной в балансе РКЦ, и платежных документов, проведенных через систему электронных платежей, а также за правильную ежедневную архивацию.

2.3. Все мемориальные ордера должны печататься на принтере, расположенном в отдельном помещении и подключенном к ЛВС, при этом они должны оформляться подписями в установленном порядке.

2.4. Руководители РКЦ должны заключить письменный договор о полной материальной ответственности с работниками, непосредственно обслуживающими денежные и товарные ценности, в соответствии с действующим трудовым законодательством.

2.5. Если в результате допущенных нарушений причинен ущерб в виде оплаты РКЦ штрафа клиентам, Центральному банку, налоговым органам, виновные несут материальную ответственность в размере и порядке, предусмотренных трудовым законодательством.

Если работник причинил ущерб Расчетно-кассовому центру отправлением файлов электронных платежных документов без списания средств со счетов клиентов или с внутрибанковских счетов через систему электронных платежей, ущерб возмещается в порядке, установленном трудовым законодательством.

Работник внутреннего аудита ежедневно по окончании операционного дня банка подсчитывает бухгалтерские документы и сверяет их с ежедневной сводкой оборотов, он должен сличать каждый документ с лицевыми счетами на предмет действительности списания со счета плательщика. Он ведет полистную сверку, заверяет своей подписью на обложке документов дня. При установлении неправильного списания письменно уведомляет руководителя РКЦ, который после уточнения обстоятельств принимает в отношении виновных меры воздействия, приведенные выше. По окончании сверки работник внутреннего аудита передает документы дня РКЦ в текущий архив под расписку в журнале, после этого с этим журналом ежедневно подходит к управляющему, записывает в его книге, открытой для этой цели, что произведена полистная сверка документов и документы переданы в архив.

2.6. Организуется программное ежедневное архивирование всех входящих и исходящих платежных документов в виде архива без права доступа со стороны РКЦ. Срок хранения архива - 10 лет.

2.7. Ключ от архиватора (архиватор - устройство, предназначенное для одноразовой записи и многоразового чтения информации), приведенного в приложении N 1, который предназначен для сбора архивов без права доступа со стороны РКЦ, хранится у работников Департамента безопасности и защиты информации Центрального банка.

Архив без права доступа со стороны РКЦ (приложение N 1) должен копироваться программным путем в архиватор, при этом должна получаться распечатка архивов на бумаге. Распечатка должна включать в себя: время, дату, объем информации, и в конце распечатки должны быть проставлены Ф.И.О. и подпись архивировавшего лица с указанием наименования накопителя. Распечатка должна храниться в сейфе.

2.8. В РКЦ приказом назначаются ответственные за правильный сбор и хранение электронных архивов, при этом главный бухгалтер систематически ведет контроль за правильным ведением архивации.

Сотрудники Департамента безопасности и защиты информации Центрального банка Республики Узбекистан при осуществлении плановых проверок РКЦ выборочно проверяют наличие архивов всего комплекса ОДБ и шифрованных платежных файлов по имени и дате, не расшифровывая их, сверяя при этом с распечатками, хранящимися вместе с ними.

В случаях необходимости, для выяснения причин недостатков и нарушений, совершенных в автоматизированной системе банковских технологий, проверка подробного (расшифрованного) архива без права доступа со стороны РКЦ осуществляется со стороны комиссии, в состав которой должны быть включены полномочные представители Центрального банка и руководитель, главный бухгалтер, ответственный работник за ведение архива, администратор сети РКЦ.

2.9. Все электронные платежи при отправке должны быть подтверждены электронной подписью и защищены шифрацией. Электронный платежный документ РКЦ, подготовленный к передаче в Центр расчетов, проверяется главным бухгалтером на целостность и правильность формирования. После проверки и сверки с подлинными документами главный бухгалтер (при отсутствии главного бухгалтера, ответственным за проставление электронной подписи назначается заместитель главного бухгалтера по приказу РКЦ) утверждает электронной подписью подпись на электронной карточке или на дискете.

2.10. Информация должна автоматически проходить шифрацию в ОДБ и передаваться в ГЦИ, в областях - в ТЦИ. Электронная карточка или дискета с электронной подписью должна храниться в опечатываемом сейфе у главного бухгалтера. Категорически запрещается передавать электронную подпись другим сотрудникам.

2.11. За нарушение режима технологии работы с электронной подписью со стороны ответственных работников РКЦ виновные лица несут ответственность в соответствии с действующим законодательством.

2.12. При нарушении каналов связи между РКЦ и центрами информатизации электронная информация может передаваться и приниматься в следующем порядке. Обмен электронной информацией с помощью дискет производится в исключительных случаях и используется тогда когда все другие разрешенные способы невозможны:

а) Для обмена электронной информацией с Территориальным центром информатизации (ТЦИ) или Главным центром информатизации (ГЦИ) с помощью дискет инициатор обмена готовит письмо на имя руководителя организации - получателя информации, где указывает дату, причину обмена электронной информацией через дискету, должность и фамилию работника, передающего или принимающего информацию на дискете, подтверждение правильности подготовки дискеты. Письмо подписывается руководителем. Информация РКЦ, подготовленная к передаче в Центр расчетов, распечатывается и проверяется главным бухгалтером;

б) При подготовке электронной информации для передачи на дискете необходимо готовить не менее двух дискет - основную и дубль и соблюдать следующие условия:

- форматировать дискету в формате МS DOS;

- имена файлов, предназначенных к передаче, должны иметь формат 8.3 (8 байт - длина имени файла, 3 байта - длина расширения файла);

- информацию переписывать на дискету стандартными программами копирования (команда "СОРУ" операционной системы МS DOS, средства Norton Commander, средства WINDOWS);

- на дискете не должна находиться информация, не предназначенная к передаче;

- информация на дискете должна быть проверена на отсутствие вирусов;

- к каждой дискете должны быть приложены две справки, в которых приводится информация: идентификационный номер дискеты, совпадающий с номером, проставленным на соответствующей дискете, имена всех файлов, предназначенных к передаче, объем этих файлов, дата и время создания файлов, дата и время снятия справки, фамилия и должность исполнителя, снявшего справку (форма справки приведена в приложении);

- справки должны быть подписаны ответственным лицом и исполнителем;

в) Со стороны РКЦ передавать информацию в ТЦИ (ГЦИ) и принимать ее на дискете должен главный бухгалтер, при его отсутствии - заместитель главного бухгалтера или другое полномочное лицо;

г) Работник ТЦИ (ГЦИ), принимающий информацию на дискете, должен сделать следующее:

- проверить наличие письма и правильность его составления;

- проверить наличие справок и присутствие в них необходимых реквизитов;

- проверить дискету на отсутствие вирусов;

- снять две справки с дискеты своей программой;

- сравнить свои справки со справками, представленными с дискетой. Справки должны совпадать.

При нарушении условий информация на дискете не принимается;

д) В случае соблюдения всех условий работник ТЦИ (ГЦИ), принимающий информацию на дискете, делает следующее:

- переносит информацию с дискеты на компьютер;

- подписывает четыре справки;

- вместе с дискетой возвращает одну предоставленную с дискетой справку и одну, снятую при приеме;

- отправляет информацию, принятую на дискете, по назначению;

- вторую представленную с дискетой справку и вторую, снятую при приеме, подшивает в документы дня;

- делает в журнале исключительных ситуаций запись о произведенном приеме информации на дискете. При этом в журнале отмечается информация о дате и времени приема, имена принятых файлов с указанием их объемов, реквизиты передавшего информацию. Работник, принявший информацию на дискете, расписывается в журнале;

- контролирует передачу по назначению информации, принятой на дискете:

е) Работник ТЦИ (ГЦИ), принимающий информацию на дискете, не несет ответственности за ошибочное содержание информации, принятой в соответствии с установленными правилами;

ж) Работник ТЦИ (ГЦИ), передающий информацию на дискете, при соблюдении всех правил передачи не несет ответственности за состояние дискеты и возникшие на ней сбойные участки.

III. КОНТРОЛЬ ЗА ДЕЯТЕЛЬНОСТЬЮ РКЦ

ПО ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ,

ОТРАЖЕННОЙ В БАЛАНСЕ БАНКА И ПЛАТЕЖНЫХ

ДОКУМЕНТАХ, ПРОВЕДЕННЫХ ЧЕРЕЗ СИСТЕМУ

ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ

3.1. Уполномоченные работники бухгалтерии территориальных управлений Центрального банка один раз в месяц проверяют соблюдение РКЦ требований настоящего Положения. Результаты проверки оформляются актом, который направляется в Департамент безопасности и защиты информации Центрального банка с принятием мер по устранению недостатков и нарушений.

3.2. Департамент внутреннего аудита Центрального банка не реже одного раза в год проводит проверки по соблюдению требований настоящего Положения.

3.3. Сотрудники Департамента безопасности и защиты информации Центрального банка Республики Узбекистан проводят проверки по соблюдению требований настоящего Положения в РКЦ в соответствии с планом-графиком.