Правила поводження з БТ

test.png

confidential.jpg

1. Система охорони БТ сучасної банківської установи

2. Правові вимоги до роботи з документами, що містять БТ

3. Особливості роботи з документами, що містять БТ, на електронних носіях

dekor2.png

1. Система охорони банківської таємниці
сучасної банківської установи

Відповідно до ЗУ «Про інформацію» вся інформація з обмеженим доступом повинна бути надійно захищена.

Відповідно до законів України «Про захист інформації в інформаційно-телекомунікаційних системах», «Про банки і банківську діяльність», «Про захист персональних даних» у банках можна визначити такі категорії інформації з обмеженим доступом:

  • банківська таємниця;
  • комерційна таємниця;
  • персональні дані;
  • інша конфіденційна інформація.

Задля полегшення визначення працівниками банків відношення певної інформації до відповідної категорії банк має створити максимально докладний та зрозумілий перелік відомостей, які містять інформацію з обмеженим доступом. У цьому переліку повинні бути описані види інформації, що належать до кожної з категорій інформації з обмеженим доступом.

Юридичні та фізичні особи, а також службові особи, які під час виконання своїх функцій безпосередньо або опосередковано отримали інформацію, що містить банківську таємницю, зобов'язані не розголошувати цю інформацію і не використовувати її на свою користь чи на користь третіх осіб, крім випадків, передбачених законодавством України.

Ст. 61 ЗУ «Про банки і банківську діяльність» встановлює обов’язок банків забезпечувати збереження банківської таємниці шляхом:

  1. 1) обмеження кола осіб, що мають доступ до інформації, яка становить банківську таємницю;
  2. 2) організації спеціального діловодства з документами, що містять банківську таємницю; \
  3. 3) застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;
  4. 4) застосування застережень щодо збереження банківської таємниці та відповідальності за її розголошення в договорах і угодах між банком і клієнтом.

Зазначені шляхи збереження банком банківської таємниці мають узагальнений характер і можуть деталізуватися й доповнюватися іншими нормативно-правовими актами, внутрішніми документами банків, угодами і договорами з клієнтами і третіми особами як щодо банківської таємниці, так і щодо інформації з обмеженим доступом в цілому.

Так, зокрема, ЗУ «Про платіжні системи і переказ коштів» (ст. 38) визначає, що захист інформації забезпечується суб'єктами переказу коштів шляхом обов'язкового впровадження та використання відповідної системи захисту, яка складається з:

  1. – законодавчих актів України та інших нормативно-правових актів, а також внутрішніх нормативних актів суб'єктів переказу, що регулюють порядок доступу та роботи з відповідною інформацією, а також відповідальність за порушення цих правил;
  2. – заходів охорони приміщень, технічного обладнання відповідної платіжної системи та персоналу суб'єкта переказу;
  3. – технологічних та програмно-апаратних засобів криптографічного захисту інформації, що обробляється в платіжній системі.

Така система захисту інформації повинна забезпечувати:

  1. 1) цілісність інформації, що передається в платіжній системі, та компонентів платіжної системи;
  2. 2) конфіденційність інформації під час її обробки, передавання та зберігання в платіжній системі;
  3. 3) неможливість відмови ініціатора від факту передавання та отримувачем від факту прийняття документа на переказ, документа за операціями із застосуванням засобів ідентифікації, документа на відкликання;
  4. 4) забезпечення постійного та безперешкодного доступу до компонентів платіжної системи особам, які мають на це право або повноваження, визначені законодавством України, а також встановлені договором.

Розробка заходів охорони, технологічних та програмно-апаратних засобів криптографічного захисту здійснюється платіжною організацією відповідної платіжної системи, її учасниками або іншою установою на їх замовлення.

З метою забезпечення зберігання та захисту банківської таємниці банки зобов'язані у внутрішніх положеннях встановити спеціальний порядок ведення діловодства з документами, які містять банківську таємницю, зокрема щодо:

  • реєстрації вихідних документів;
  • роботи з документами, зокрема доступу до них;
  • відправлення та зберігання документів;
  • а також особливості роботи з електронними документами, які містять банківську таємницю.

Установлюючи спеціальний порядок ведення діловодства з документами, що містять банківську таємницю, банки зобов'язані врахувати вимоги Правил зберігання, захисту, використання та розкриття банківської таємниці, затверджених Постановою НБУ № 267 від 14.07.2006.

Банки та їх керівники, які винні в порушенні цих Правил, несуть відповідальність, передбачену ст. 73 ЗУ «Про банки і банківську діяльність».

Незаконне збирання з метою використання або використання відомостей, що становлять банківську таємницю, та/або розголошення банківської таємниці тягне за собою відповідальність, передбачену законом.

Отже, система охорони банківської таємниці – комплекс заходів і засобів (правових, організаційних, технічних, інженерних, програмних, криптографічних та інших), спрямованих на недопущення незаконного (несанкціонованого) обігу (передавання, обробки, розкриття, зберігання, знищення) банківської таємниці.

Правова складова системи охорони банківської таємниці передбачає упорядкування основних процесів обігу банківської таємниці – зберігання, захисту, використання, розкриття.

Джерела вимог до системи охорони банківської таємниці становлять:

  • Закони України;
  • нормативно-правові акти НБУ;
  • вимоги платіжних систем та систем переказу коштів;
  • внутрішні нормативні документи банку;
  • умови угод та договорів з третіми сторонами;
  • застереження в договорах між банком і клієнтом.

Основним нормативно-правовим актом НБУ, що містить правові вимоги до системи охорони банківської таємниці є Постанова НБУ № 267 від 14.07.2006. «Про затвердження Правил зберігання, захисту, використання та розкриття банківської таємниці».

2. Правові вимоги до роботи з документами,
що містять банківську таємницю

pap.jpg

Відповідно до Правил зберігання, захисту, використання та розкриття банківської таємниці, працівники банку під час прийому на роботу повинні власноруч підписувати зобов'язання щодо збереження банківської таємниці. Ці зобов'язання банк може поширити на всі категорії інформації з обмеженим доступом.

Типового зобов’язання щодо збереження банківської таємниці законодавством України не визначено. Проте для окремих категорій працівників, які працюють із засобами захисту інформації НБУ, такі зобов’язання визначені Правилами організації захисту електронних банківських документів з використанням засобів захисту інформації НБУ, затвердженими Постановою НБУ № 829 від 26.11.2015.

Так, у зобов’язанні адміністраторів інформаційної безпеки визначено обов’язок:

  1. 1) забезпечувати та контролювати виконання режимних вимог до приміщень, у яких обробляються електронні документи, використовуються і зберігаються засоби захисту інформації НБУ;
  2. 2) забезпечувати отримання, зберігання, облік і контроль за використанням засобів захисту інформації НБУ;
  3. 3) виконувати правила використання і зберігання засобів захисту інформації НБУ та здійснювати контроль за технологією оброблення електронних банківських документів;
  4. 4) знати нормативно-правові акти НБУ з питань інформаційної безпеки та здійснювати контроль за їх виконанням відповідальними особами;
  5. 5) надавати інформацію щодо інформаційної безпеки Департаменту інформаційної безпеки НБУ на його запити;
  6. 6) підтримувати зв'язок з Департаментом інформаційної безпеки НБУ з питань інформаційної безпеки);
  7. 7) передати всі засоби захисту інформації, ключі від сейфів, особисті печатки тощо в установленому порядку в останній день роботи в разі звільнення з роботи;
  8. 8) забезпечувати конфіденційність системи захисту інформації організації, постійно вживати заходів щодо підвищення рівня захищеності інформації в організації.

Зобов’язання адміністраторів і операторів автоматизованих робочих місць (АРМ) містить такі обов’язки:

  1. 1) виконувати правила використання та зберігання власних таємних ключів і дотримуватися технології оброблення електронних банківських документів;
  2. 2) не передавати іншим особам власні таємні ключі;
  3. 3) не розголошувати мережеві паролі, паролі входу до системи автоматизації банку, інших програмно-технічно комплексів і пароль власного таємного ключа;
  4. 4) у разі спроби інших осіб отримати від мене засоби захисту інформації, підозри щодо втрати контролю за своїми таємними ключами або їх втрати негайно повідомити про це адміністратора інформаційної безпеки організації;
  5. 5) у разі звільнення з роботи в останній день роботи повернути адміністратору інформаційної безпеки організації всі засоби захисту інформації, ключі від сейфів, особисті печатки тощо;
  6. 6) дотримуватися вимог щодо забезпечення конфіденційності системи захисту інформації організації.

Службовці НБУ мають право на доступ до інформації, що містить банківську таємницю і охороняється (зберігається) банком, в процесі здійснення наглядових функцій.

Банки зобов'язані забезпечити інспекторам НБУ та іншим уповноваженим ним особам вільний доступ до всіх документів та інформації, що містить банківську таємницю (зокрема й тих, що ведуться в електронному вигляді у форматі та режимі їх ведення або роботи з ними) як під час проведення інспекційних перевірок, так і на письмовий запит під час здійснення безвиїзного нагляду.

Запит НБУ щодо надання інформації, що містить банківську таємницю, пояснень стосовно проведених банком операцій та з окремих питань діяльності банку під час здійснення безвиїзного нагляду надсилається банку у формі листа поштою, зокрема електронною. Такий запит може бути підписаний Головою або заступником Голови НБУ, або директором генерального департаменту НБУ, або директором департаменту НБУ, або начальником територіального управління НБУ, або їх заступниками, або особами, які виконують їх обов'язки.

Задля належного здійснення спеціального діловодства банк має створити максимально докладний та зрозумілий перелік відомостей, які належать до інформації з обмеженим доступом. У цьому переліку повинні бути описані види інформації за кожною з категорій інформації з обмеженим доступом. Це надасть можливість полегшити працівнику банку визначення належності певної інформації до відповідної категорії.

Особливу увагу слід звернути на маркування документів з обмеженим доступом. Скорочені позначки грифа інформації з обмеженим доступом повинні бути загально відомими, наприклад, банківська таємниця – «БТ», комерційна таємниця – «КТ» тощо. Не рекомендується використовувати інші літери для скорочених позначок грифу інформації, які не пов'язані із повною назвою грифа та не є інтуїтивно зрозумілими.

Під час опрацювання вихідних документів виконавець документа визначає потребу проставляння на ньому грифа «Банківська таємниця». Необхідність проставляння такого грифа на документі визначається виконавцем з урахуванням вимог ст. 1076 Цивільного кодексу України та ст. 60 ЗУ «Про банки і банківську діяльність».

Гриф «Банківська таємниця» проставляється в правому верхньому куті першого аркуша документа. Не проставляється такий гриф на документах, які банки надають клієнтам – власникам інформації, що містить банківську таємницю.

У процесі роботи з документами, що містять гриф «Банківська таємниця», працівники банку мають забезпечити зберігання таких документів у сейфах або шафах, які надійно замикаються і до яких не мають доступу треті особи.

Реєстрація вихідних документів, що містять банківську таємницю, здійснюється в спеціальному журналі обліку вихідних документів, що містять банківську таємницю, окремо від реєстрації інших вихідних документів. Вихідні документи реєструються в день їх підписання.

Під час відправлення (передавання) інформації, що містить банківську таємницю, банки зобов'язані, забезпечити її гарантовану доставку та конфіденційність.

Забороняється відправлення документів з грифом «Банківська таємниця» з використанням факсимільного зв'язку або іншими каналами зв'язку, що не забезпечують захист інформації.

arhiv.jpg

Щодо зберігання документів з грифом «Банківська таємниця» то безпосередньо для них строків зберігання нормативно-правовими актами України не визначається. Тому при їх визначенні необхідно виходити із загальних вимог до зберігання документів (інформації) в банківських установах, визначених законодавством України.

Так, задля забезпечення фінансового моніторингу, банки як суб’єкти первинного фінансового моніторингу зобов’язані зберігати офіційні документи, інші документи (зокрема електронні), їх копії щодо ідентифікації осіб (клієнтів, їх представників), а також осіб, яким суб’єктом первинного фінансового моніторингу було відмовлено у проведенні фінансових операцій, вивчення клієнта, уточнення інформації про клієнта, а також усі документи що стосуються ділових відносин (проведення фінансових операцій) з клієнтом, не менше 5 років після завершення фінансової операції, завершення ділових відносин з ним, а всі необхідні дані про фінансові операції (достатні для того щоб простежити хід операцій) – не менше 5 років після завершення операції, закриття рахунка, припинення ділових відносин. Ця вимога встановлена ст. 6 ЗУ «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення».

Основним нормативно-правовим актом, що визначає строки зберігання відповідних категорій документів, які утворюються в процесі здійснення банківської діяльності в Україні є Постанова НБУ № 601 від 08.12.2004 «Про затвердження Переліку документів, що утворюються в діяльності Національного банку України та банків України із зазначенням строків зберігання». Затверджений нею Перелік призначено для обов'язкового використання всіма банківськими установами.

Строки зберігання документів визначені в Переліку незалежно від виду носія, на якому вони складені (паперовий, електронний, у вигляді мікрофільмів тощо), є мінімальними і зменшенню не підлягають. Банківські установи можуть лише збільшувати строки зберігання документів, якщо це викликано специфічними особливостями їх роботи.

Зокрема Переліком передбачені такі позначки для документів і відповідні їм строки зберігання.

«10 р.» – строк зберігання (у роках).

«75 р. – "В"» – строк зберігання визначається з урахуванням віку людини (позначеного в Переліку літерою "В") на час закінчення справи. Наприклад, особова справа службовця завершена діловодством, коли йому було 35 років, відповідно вона має зберігатися 40 років.

«Доки не мине потреба» – документи, що мають тривале практичне значення, конкретний строк зберігання яких визначається експертною комісією банківської установи.

«До ліквідації організації» – документи підлягають експертизі цінності. Окремі з них, що зачіпають права громадян та інтереси держави, передаються у відповідні державні або інші архіви для подальшого зберігання.

«ЕПК» – додаткова позначка для документів, що можуть мати культурну цінність. Такі документи обов'язково переглядаються відповідною експертною перевірною комісією або експертною комісією банківської установи з метою визначення доцільності їх подальшого віднесення до Національного архівного фонду або для знищення після практичного використання.

Документи, строк зберігання яких визначений Переліком як постійний, відносяться до документів Національного архівного фонду.

На підставі Переліку здійснюється експертиза цінностей документів з метою внесення їх до Національного архівного фонду або знищення.

Експертиза цінності документів та оформлення її результатів у банківських установах проводиться в порядку, визначеному Правилами організації діловодства та архівного зберігання документів у державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затверджених Наказом Мінюсту № 235/5 від 10.02.2012.

Визначення строків зберігання документів, які не перелічені в цьому Переліку, здійснюється відповідно до Переліку типових документів, що створюються під час діяльності державних органів та органів місцевого самоврядування, інших установ підприємств та організацій, із зазначенням строків зберігання документів, затвердженого Наказом Мінюсту № 578/5 від 12.04.2012.

Знищення документів без відповідного оформлення і погодження, а також порушення строків їх зберігання забороняється.

Контроль за правильністю проведення експертизи цінності і застосуванням Переліку здійснюють НБУ та державні архівні установи.

Посадові особи, винні в недбалому зберіганні, псуванні і знищенні документів, що належать до Національного архівного фонду, несуть відповідальність згідно з законодавством України.

3. Особливості роботи з документами,
що містять банківську таємницю, на електронних носіях

electro.jpg

Основні вимоги до роботи з документами, що містять банківську таємницю, в електронному вигляді визначають:

  1. – Постанова Національного банку України № 267 від 14.07.2006 «Про затвердження Правил зберігання, захисту, використання та розкриття банківської таємниці»;
  2. – Постанова Національного банку України № 829 від 26.11.2015 «Про затвердження нормативно-правових актів з питань інформаційної безпеки»;
  3. – Постанова Національного банку України № 357 від 12.09.2006 «Про затвердження Положення про порядок формування, зберігання та знищення електронних архівів у Національному банку України і банках України»;
  4. – Постанова Національного банку України № 243 від 04.07.2007 «Про затвердження Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи».

Організовуючи роботу з документами, що містять банківську таємницю, на електронних носіях банки мають забезпечити дотримання таких вимог:

а) позначка грифа «Банківська таємниця» не додається до інформації та даних в електронному вигляді, що мають визначений формат і обробляються автоматизованими системами, а також до лістингів програмних модулів. Для текстових повідомлень, які створюються, обробляються, передаються та зберігаються в електронному вигляді, наявність позначки грифа «Банківська таємниця» є обов'язковою;

б) автоматизовані системи, які обробляють інформацію, що містить банківську таємницю, мають створюватися банками таким чином, щоб обмежити доступ користувачів лише в межах, що необхідні для виконання їх службових обов'язків. Автоматизовані системи оброблення інформації повинні мати вбудовану систему захисту інформації, яку неможливо відключити або здійснити оброблення інформації, минаючи її. Автоматизовані системи оброблення інформації, що містить банківську таємницю, які працюють у режимі реального часу (on-line), повинні мати таку архітектуру, за якої користувачі не мають прямого доступу до конфіденційних даних у базі даних і можуть отримувати доступ лише через сервер застосувань, що здійснює сувору автентифікацію запитів. Автоматизовані системи повинні здійснювати обов'язкову реєстрацію всіх спроб доступу та інших критичних подій у системі в захищеному від модифікації електронному журналі;

в) приймання та реєстрація інформації визначеного формату, що містить банківську таємницю, в електронному вигляді технологічними АРМ автоматизованих систем здійснюється згідно з технологічними схемами проходження інформації безпосередньо на відповідних робочих місцях з використанням вбудованої в ці технологічні АРМ системи захисту інформації; г) передавання інформації, яка містить банківську таємницю, електронною поштою або в режимі on-line здійснюється лише в захищеному (зашифрованому) вигляді з контролем цілісності та з обов'язковим наданням підтвердження про її надходження з електронним підписом отримувача з використанням засобів захисту;

ґ) роздрукування документів з грифом «Банківська таємниця» у технологічних АРМ здійснюється згідно з технологічними схемами роботи відповідних АРМ банку. На роздрукованих документах проставляється гриф «Банківська таємниця» і вони обліковуються згідно з вимогами щодо обліку паперових документів.

У разі відправлення даних на електронному носії додається супровідний лист у письмовій формі з грифом «Банківська таємниця», у якому зазначаються дані про вміст носія.

Отримання інформації з баз даних технологічних АРМ нештатними засобами забороняється.

Програмні модулі передаються і обліковуються на електронних носіях інформації з обов'язковим супровідним листом з грифом «Банківська таємниця».

Лістинги програм захисту інформації, що містять банківську таємницю, повинні зберігатися банком на захищених серверах або електронних носіях.

Формування архівів в електронному вигляді здійснюється згідно з технологічними схемами оброблення документів, а також вимогами нормативно-правових актів НБУ. Архіви зберігаються на серверах або зовнішніх носіях у захищеному вигляді із забезпеченням контролю цілісності інформації під час роботи з архівними документами.

Загальні правила формування, обліку, використання, зберігання та знищення електронних архівів (документів), створених у банківській системі регламентує Положення про порядок формування, зберігання та знищення електронних архівів у Національному банку України і банках України, затверджене Постановою НБУ № 357 від 12.09.2006.

На підставі цього Положення банки України розробляють власні внутрішні нормативні документи стосовно правил оперативного зберігання електронних архівів з урахуванням внутрішньобанківської технології оброблення електронних документів. Відповідальність за дотримання цього Положення покладається на банківську установу.

Електронні архіви в банківських установах можуть формуватися трьома способами:

  1. 1) з окремих електронних документів, що утворюються в діяльності банківських установ, які формуються в електронні справи;
  2. 2) за результатами роботи програмно-технічних комплексів автоматизації банківської діяльності, зокрема автоматизації діловодства та архівної справи;
  3. 3) за результатами роботи платіжних систем.

Формування електронних архівів з окремих електронних документів, що утворюються в процесі діяльності банківських установ, здійснюється в такому порядку:

  1. – електронні документи формуються в електронні справи відповідно до затвердженої номенклатури справ банківської установи (групування і формування електронних документів у справи здійснюються за тим самим порядком, що й документів на паперових носіях);
  2. – методичне керівництво і контроль за формуванням електронних документів у справи та їх оперативним зберіганням здійснює архівний підрозділ банківської установи;
  3. – технічні та технологічні умови зберігання і користування електронними архівами електронних документів забезпечує підрозділ інформаційних технологій.

Формування електронних архівів за результатами роботи програмно-технічних комплексів з автоматизації банківської діяльності здійснюється відповідно до технології роботи цих комплексів у такому порядку:

  1. – структура та зміст електронних архівів за результатами роботи програмно-технічних комплексів з автоматизації банківської діяльності визначаються технологією роботи цих комплексів і внутрішніми нормативними документами банківської установи та нормативно-правовими актами Національного банку України;
  2. – методичне керівництво з питань формування електронних архівів за результатами роботи програмно-технічних комплексів з автоматизації банківської діяльності здійснюють розробники або спеціалісти, які супроводжують роботу цих комплексів;
  3. – технічні та технологічні умови зберігання і користування електронними архівами за результатами роботи програмно-технічних комплексів з автоматизації банківської діяльності забезпечує підрозділ банківської установи, який здійснює експлуатацію або супроводження цього комплексу, або інший підрозділ, призначений згідно з розпорядженням керівництва банківської установи.

Порядок формування електронних архівів платіжних систем здійснюється відповідно до правил платіжних систем, які діють для цієї платіжної системи, а саме:

  1. – структура та зміст електронних архівів за результатами роботи платіжних систем визначаються документами платіжної системи та нормативно-правовими актами Національного банку України;
  2. – технічні та технологічні умови зберігання і користування електронними архівами за результатами роботи платіжних систем забезпечують підрозділи банківських установ – учасників платіжної системи, які здійснюють експлуатацію відповідного програмного забезпечення платіжної системи, або інший підрозділ, призначений згідно з розпорядженням керівництва банківської установи.

Електронні архіви банківської установи можуть перебувати на оперативному зберіганні в її структурних підрозділах (в яких вони перебували на виконанні або були створені), та зберігатися в архівах банківської установи.

Строк зберігання електронних архівів визначається строком зберігання відповідних електронних документів та електронних даних, які визначені для документів на паперових носіях.

Строки оперативного зберігання електронних архівів та правила їх підготовки і передавання до архіву банківської установи встановлені Положенням про порядок формування, зберігання та знищення електронних архівів у Національному банку України і банках України.

Електронні архіви повинні дублюватися і зберігатися на двох різнотипних електронних носіях у двох різних приміщеннях.

Електронними носіями для зберігання електронних архівів можуть бути:

  • жорсткі диски комп'ютерів (серверів);
  • магнітні стрічки;
  • магнітооптичні компакт-диски;
  • оптичні (лазерні) компакт-диски;
  • DVD-диски;
  • інші носії.

Вибір носія здійснюється з урахуванням строків зберігання електронних документів і гарантованого строку зберігання інформації на електронному носії певного типу.

Перевірка цілісності електронних архівів (перевірка належного функціонування електронних носіїв і можливість отримання інформації з них шляхом перевірки можливості читання цього архіву) здійснюється не менше ніж один раз на рік комісією, призначеною керівником банківської установи, до складу якої входять відповідальні спеціалісти підрозділів, які створювали ці архіви (архів електронних документів, електронний архів програмно-технічного комплексу з автоматизації банківської діяльності, електронний архів платіжної системи). Для зручності дозволяється проводити окремі контрольні перевірки цих архівів.

У разі закінчення гарантованого строку зберігання інформації на електронному носії здійснюється перезапис електронного архіву на новий носій, а в разі порушення цілісності електронного архіву – його відновлення з резервної копії.

Електронні носії з електронними архівами, за винятком жорстких дисків комп'ютерів (серверів), повинні бути промарковані відповідними написами в довільній формі для ідентифікації їх змісту та строків зберігання. Маркування електронних носіїв у разі використання спеціалізованої апаратно-програмної архівної системи може виконуватися цією системою.

Правила видавання електронних документів з електронних архівів не відрізняються від правил видавання документів на паперових носіях з архівів банківських установ.

Під час видавання документів з електронних архівів обов'язковою операцією є перевірка цілісності документа за допомогою засобів перевірки електронного підпису або засобів програмно-технічного комплексу. Лише під час одержання позитивного результату перевірки цілісності документ уважається справжнім.

У разі потреби робиться паперова копія електронного документа, що засвідчується підписом відповідальної особи, яка зробила цю копію, та відбитком печатки банківської установи. Якщо паперова копія електронного документа зроблена для використання в межах банківської установи, дозволяється не засвідчувати цю копію відбитком печатки банківської установи.

Знищення електронних архівів здійснюється у разі закінчення строку зберігання електронних документів з відповідним оформленням (як для паперових документів).

Знищення електронних архівів на електронних носіях здійснюється призначеною комісією зі складанням відповідного акта із застосуванням одного або кількох одночасних дій:

  1. – фізичного руйнування електронного носія;
  2. – руйнування інформації на електронному носії за допомогою потужного електромагнітного випромінювання;
  3. – подвійного запису на перезаписувальний електронний носій спеціальної інформації (наприклад, одиниць або нулів).

Після знищення електронного архіву електронні носії (за потреби та у разі їх придатності) можуть використовуватися повторно до закінчення строку їх використання. Передавати ці електронні носії до інших установ заборонено.

У разі ліквідації відокремленого структурного підрозділу банку електронні архіви передаються до банку, а в разі ліквідації банку – до територіального управління НБУ за місцем його розташування.

З метою забезпечення конфіденційності та цілісності інформації в електронній формі на будь-якому етапі її оброблення, а також суворої автентифікації учасників системи електронних платежів (СЕП), учасників інформаційних задач і фахівців організацій, які беруть участь у підготовці й обробленні електронних документів, в Україні запроваджено захист інформації, з в використанням засобів захисту інформації Національного Банку України.

Принципи побудови системи захисту інформації та порядок отримання і повернення засобів захисту інформації Національного банку України (ЗЗІ) організаціями (зокрема банками) визначено в Положенні про захист електронних банківських документів з використанням засобів захисту інформації Національного банку України, затвердженому  Постановою НБУ № 829 від 26.11.2015 «Про затвердження нормативно-правових актів з питань інформаційної безпеки».

За допомогою ЗЗІ забезпечується криптографічний захист електронних банківських документів, зокрема шифрування/дешифрування, накладання/перевірка електронного цифрового підпису.

Організації, що використовують ЗЗІ, взаємодіють з Департаментом інформаційної безпеки НБУ та отримують ЗЗІ в територіальних управліннях НБУ за місцем їх розташування. Організації міста Києва і Київської області отримують ЗЗІ в Департаменті інформаційної безпеки НБУ.

Організації, які використовують ЗЗІ, зобов'язані виконувати організаційні заходи інформаційної безпеки щодо використання, зберігання, обліку ЗЗІ згідно з Правилами організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України.

Департамент інформаційної безпеки НБУ здійснює перевірку дотримання вимог Правил в організаціях відповідно до Положення про порядок перевірки стану інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації Національного банку України, затвердженого постановою НБУ № 829 від 26.11.2015.

Організації зобов'язані узгоджувати з Департаментом інформаційної безпеки питання НБУ, які можуть виникати під час роботи із ЗЗІ і які не передбачені Правилами організації захисту електронних банківських документів з використанням засобів захисту інформації НБУ.

« на початок сторінки »

Зобов’язання щодо збереження банківської таємниці підписують:
працівники банку
тільки адміністратори інформаційної безпеки банку
тільки адміністратори інформаційної безпеки банку та адміністратори і оператори автоматизованих робочих місць
У часі збереження банківської таємниці обмежується:
строком дії договору між банком і клієнтом про надання банківських послуг
строком дії ліцензії на здійснення банківської діяльності
5-ма роками після здійснення фінансової операції
чітких меж законодавством не встановлено
Позначка грифа «Банківська таємниця»
проставляється на всіх паперових письмових документах, які містять банківську таємницю
додається до інформації та електронних даних, що містять банківську таємницю, мають визначений формат і обробляються автоматизованими системами
проставляється у письмових супровідних листах до електронних носіїв інформації, що містять банківську таємницю
Необхідність поставлення на документі грифа «Банківська таємниця» визначається:
клієнтом банку, інформація щодо якого міститься в документі
виконавцем документу
керівником підрозділу банку, у якому створюється документ
адміністратором інформаційної безпеки банку
Мінімальні строки зберігання документів, що містять банківську таємницю
визначаються Верховною радою України
безпосередньо встановлюються Національним банком України
визначаються, виходячи із строків зберігання документів, що утворюються в банківсій діяльності, затверджених Національним банком України і Міністерством юстиції України
визначаються банками самостійно, у залежності від потреб банківської діяльності
Строк зберігання електронних документів, що містять банківську таємницю визначається:
строком зберігання відповідних (аналогічних) документів на паперових носіях
строком зберігання електронних архівів, до яких вони належать
потребами та специфікою електронного документообігу в банківській установі
Службовці НБУ можуть отримати від банку інформацію, що містить банківську таємницю:
за рішенням суду
у формі листа електронною поштою у відповідь на запит, підписаний директором департаменту НБУ
тільки безпосередньо в банку під час проведення інспекційної перевірки

© О.О. Тихомиров | Право, суспільство, держава, безпека: інформаційний вимір | tihoma-law.at.ua