05. Нормативно-правові акти з безпеки інформаційно-телекомунікаційних систем

З метою обміну інформацією з обмеженим доступом з використанням телекомунікаційної мережі загального користування всі країни створюють спеціальні телекомунікаційні мережі, які забезпечують технічний та криптографічний захист інформації. Так, ще у 1930 році на території України та Росії була побудована перша телекомунікаційна лінія засекреченого зв’язку, яка з’єднала столицю УРСР Харків і столицю СРСР Москву.

У подальшому на території СРСР була побудована та функціонувала загальнодержавна мережа урядового зв’язку, що забезпечувала захист секретної інформації. У 1991 році, коли Україна стала незалежною державою, вона отримала у спадок мережу та обладнання урядового зв’язку, що знаходилось на її території.

На даний час в Україні функціонує державна система урядового зв’язку (далі - ДСУЗ) - система спеціального зв’язку, що функціонує в інтересах здійснення управління державою у мирний час, в умовах надзвичайного стану, в особливий період та забезпечує захист інформації, що містить державну таємницю, під час її передавання, приймання та обробки.

Нормативно-правовим підгрунтям функціонування ДСУЗ є закон «Про Державну службу спеціального зв’язку та захисту інформації України» (далі - Держспецзв’язку). Функіонування, безпеку та розвиток ДСУЗ забезпечує Держспецзв’язку на підставі спеціальних Указів Президента України та інших нормативно-правових актів, які мають, як правило, гриф секретності. Офіційний сайт Держспецзв’язку знаходиться тут.

Разом з тим, з метою обміну конфіденційною інформацією з використанням телекомунікаційної мережі загального користування постало питання щодо створення конфіденційної телекомунікаційної мережі. Так, у 2002 році був прийнятий Закон України «Про Національну систему конфіденційного зв'язку» (далі - Закон).

У цьому Законі нижченаведені терміни вживаються в такому значенні:
- спеціальна телекомунікаційна система (мережа) - телекомунікаційна система (мережа), призначена для обміну ІзОД;
- Національна система конфіденційного зв'язку (далі - НСКЗ) - сукупність спеціальних телекомунікаційних систем (мереж) подвійного призначення, які за допомогою засобів захисту забезпечують обмін ІзОД, крім інформації, що становить державну таємницю в інтересах органів державної влади та органів місцевого самоврядування, створюють належні умови для їх взаємодії в мирний час та у разі введення надзвичайного і воєнного стану.

Згідно статті 5 Законускладовими НСКЗ є спеціальні телекомунікаційні системи (мережі), їх фіксовані і мобільні компоненти, централізовані системи захисту інформації та оперативно-технічного управління. Структура побудови НСКЗ повинна забезпечувати відокремлення ІзОД, крім інформації, що становить державну таємницю, органів державної влади та органів місцевого самоврядування, інших юридичних та фізичних осіб з використанням криптографічних та/або технічних засобів.

Згідно статті 6 Законууправління НСКЗ, її функціонування, розвиток, використання та захист інформації забезпечуються спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації відповідно до законодавства. Централізовані системи захисту інформації та оперативно-технічного управління перебувають у державній власності і не підлягають приватизації.

Згідно статті 7 Закону послуги конфіденційного зв'язку надаються органам державної влади та органам місцевого самоврядування, державним підприємствам, установам, організаціям, іншим юридичним та фізичним особам на платній основі. Надання послуг конфіденційного зв'язку іншим юридичним та фізичним особам здійснюється відповідно до законодавства на підставі договору між споживачем та оператором.

Послуги конфіденційного зв'язку надаються операторами, які є юридичними особами та мають ліцензії на право надання послуг телефонного зв'язку, а також надання послуг у галузі криптографічного та/або технічного захисту інформації відповідно до законодавства.

З метою реалізації вимог Закону був прийнятий «Порядок надання послуг конфіденційного зв'язку органам державної влади та органам місцевого самоврядування, державним підприємствам, установам та організаціям» (далі - Порядок), затверджений постановою Кабінету Міністрів України від 11 жовтня 2002 року № 1519 (у редакції постанови Кабінету Міністрів України від 29 квітня 2013 року № 328).

Згідно п.5 Порядку захист інформації під час надання послуг конфіденційного зв’язку забезпечується операторами шляхом вжиття відповідно до законодавства організаційних та інженерно-технічних заходів із застосуванням криптографічних і технічних засобів захисту інформації.

Згідно п.7 Порядку послуги конфіденційного зв’язку надаються відповідно до договору, примірна форма якого затверджується Адміністрацією. До укладення договору оператор за зверненням споживача зобов’язаний безоплатно надати споживачеві для ознайомлення вичерпну інформацію про зміст, якість, вартість і порядок надання послуг конфіденційного зв’язку.

Основним нормативно-правовим актом України щодо захисту інформації в комп’ютерних системах є Закон «Про захист інформації в інформаційно-телекомунікаційних системах», який регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - система).

У цьому Законі наведені нижче терміни вживаються в такому значенні:
- інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
- телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді  сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;
- інформаційно-телекомунікаційна система - сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
- захист інформації в системі - діяльність, спрямована на запобігання несанкціонованим діям щодо інформації;
- комплексна система захисту інформації (далі – КСЗІ) - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.

Згідно статті 5 Закону власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом. Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі.

Згідно статті 8 Закону інформація, яка є власністю держави, або інформація з обмеженим доступом (далі - ІзОД), вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням КСЗІ з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи  в порядку, встановленому законодавством.

Для створення КСЗІ, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері захисту інформації.  Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.

Згідно статті 9 Закону відповідальність за забезпечення захисту інформації в системі покладається на власника системи. Власник системи, в якій обробляється інформація, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.

Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, власник системи повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації (Адміністрацію Держспецзв'язку) або підпорядкований йому регіональний орган.

Згідно статті 10 Закону спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації:
- розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
- визначає вимоги та порядок створення КСЗІ, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
- організовує проведення державної експертизи КСЗІ, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
- здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом;
- здійснює заходи щодо виявлення загрози державним інформаційним ресурсам від несанкціонованих дій в ІТС та дає рекомендації з питань запобігання такій загрозі.

Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.

Згідно п.1 «Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України», затвердженого Указом Президента України від 3 вересня 2014 р. № 411, Адміністрація є центральним органом виконавчої влади в галузі зв'язку та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації.

З метою реалізації положень Закону 29 березня 2006 року Кабінетом Міністрів України постановою № 373 були затверджені «Правила забезпечення захисту інформації в ІТС» (далі - Правила),які визначають загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в ІТС.

У Правилах наведені нижче терміни вживаються у такому значенні:
- автентифікація - процедура встановлення належності користувачу інформації в системі (далі - користувач) пред'явленого ним ідентифікатора (пароль);
- ідентифікація - процедура розпізнавання користувача в системі за допомогою імені (ідентифікатора), що сприймається системою (логін).

Згідно п.4 Правил захисту в системі підлягає:
- відкрита інформація, яка належить до державних інформаційних ресурсів, а також відкрита інформація про діяльність суб'єктів владних повноважень, військових формувань, яка оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами (далі - відкрита інформація);
- конфіденційна інформація, яка перебуває у володінні розпорядників інформації,  визначених Законом України «Про доступ до публічної інформації;
- службова інформація;
- інформація, яка становить державну або іншу передбачену законом таємницю (далі - таємна інформація);
- інформація, вимога щодо захисту якої встановлена законом.

Згідно п.5 Правил відкрита інформація під час обробки в системі повинна зберігати цілісність, що забезпечується шляхом захисту від несанкціонованих дій, які можуть призвести до її випадкової або умисної модифікації чи знищення.

Усім користувачам повинен бути забезпечений доступ до ознайомлення з відкритою інформацією в системі. Модифікувати або знищувати відкриту інформацію можуть лише ідентифіковані та автентифіковані користувачі, яким надано відповідні повноваження.

Спроби модифікації чи знищення відкритої інформації користувачами, які не мають на це повноважень, неідентифікованими або неавтентифікованими користувачами повинні блокуватися.

Згідно п.6 Правил під час обробки службової і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

Згідно п.7 Правил доступ до службової інформації надається тільки ідентифікованим та  автентифікованим користувачам. Спроби доступу до такої інформації  неідентифікованих або неавтентифікованих користувачів повинні призводити до їх блокування. У системі забезпечується можливість надання користувачеві права на виконання однієї або кількох операцій з обробки конфіденційної інформації або позбавлення його такого права.

Згідно п. 11 Правил у системі здійснюється обов'язкова реєстрація:
- результатів ідентифікації та автентифікації користувачів;
- результатів виконання користувачем операцій з обробки інформації;
- спроб несанкціонованих дій з інформацією;
- фактів надання та позбавлення користувачів права доступу до інформації та її обробки;
- результатів перевірки цілісності засобів захисту інформації.

Забезпечується можливість проведення аналізу реєстраційних даних виключно користувачем, якого уповноважено здійснювати управління засобами захисту інформації і контроль за захистом інформації в системі (адміністратор безпеки).

Реєстрація здійснюється автоматичним способом, а реєстраційні дані захищаються від модифікації та знищення користувачами, які не мають повноважень адміністратора безпеки. Реєстрація спроб несанкціонованих дій з ІзОД повинна супроводжуватися повідомленням про них адміністратора безпеки.

Згідно п.12 Правил ідентифікація та автентифікація користувачів, надання та позбавлення їх права доступу до інформації та її обробки, контроль за цілісністю засобів захисту в системі здійснюється автоматизованим способом.

Згідно п.13 Правил передача службової і таємної інформації з однієї системи до  іншої здійснюється у зашифрованому вигляді або захищеними каналами зв'язку згідно з вимогами законодавства з питань технічного та криптографічного захисту інформації.

Згідно п.15 Правил у системі здійснюється контроль за цілісністю програмного забезпечення, яке використовується для обробки інформації, запобігання несанкціонованій його модифікації та ліквідація наслідків такої модифікації. Контролюється також цілісність засобів захисту інформації. У разі порушення їх цілісності обробка інформації в системі припиняється.

Згідно п.16 Правил для забезпечення захисту інформації в системі створюється КСЗІ, яка призначається для захисту інформації від:
- витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень (далі - ПЕМВН), акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;
- несанкціонованих дій, у тому числі з використанням комп'ютерних вірусів;
- спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.

Захист інформації від витоку технічними каналами забезпечується в системі у разі, коли в ній обробляється інформація, що становить державну таємницю, або коли відповідне рішення щодо необхідності такого захисту прийнято розпорядником інформації. 

Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів, забезпечується в усіх системах. Захист інформації від спеціального впливу на засоби обробки інформації забезпечується в системі, якщо рішення про це прийнято розпорядником інформації.

Згідно п.17 Правил відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для цього заходів та створення системи захисту покладається  на  керівника організації, яка є власником (розпорядником) системи, та керівників її структурних  підрозділів, що забезпечують створення та експлуатацію системи.

Згідно п.18 Правил організація та проведення робіт із захисту інформації в системі здійснюється службою захисту інформації (далі - СЗІ), яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію КСЗІ, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації.

СЗІ утворюється згідно з рішенням керівника організації, що є власником (розпорядником) системи. У разі коли обсяг робіт, пов'язаних із захистом інформації в системі, є незначний, захист інформації може здійснюватися однією особою.

Згідно п.19 Правил захист інформації на всіх етапах створення та експлуатації системи здійснюється відповідно до розробленого СЗІ плану захисту інформації в системі.

План захисту інформації в системі містить:
- завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації;
- визначення моделі загроз для інформації в системі;
- основні вимоги щодо захисту інформації та правила доступу до неї в системі;
- перелік документів, згідно з якими  здійснюється захист інформації в системі;
- перелік і строки виконання робіт службою захисту інформації.

Згідно п.20 Правил вимоги та порядок створення КСЗІ встановлюються Адміністрацією Держспецзв'язку (далі - Адміністрація). Вимоги до захисту інформації кожної окремої системи встановлюються технічним завданням на створення системи або КСЗІ.

Згідно п.21 Правил у складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю. У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту.

Згідно п.22 Правил порядок проведення державної експертизи системи захисту, державної експертизи та сертифікації засобів технічного і криптографічного захисту інформації встановлюється Адміністрацією.

Органи виконавчої влади, які мають дозвіл на провадження діяльності з ТЗІ для власних потреб, вправі за згодою департаменту організовувати проведення державної експертизи системи захисту на підприємствах, в установах та організаціях, які належать до сфери їх управління.

Згідно п.23 Правил виконавцем робіт із створення системи захисту може бути суб'єкт господарської діяльності, який має ліцензію, або орган виконавчої влади, який має дозвіл на право провадження робіт у сфері ТЗІ, необхідність проведення  якого визначено технічним завданням на створення системи захисту.

Якщо для створення системи захисту необхідно провести роботи з криптографічного захисту інформації, виконавець повинен мати ліцензії на провадження виду робіт у сфері криптографічного захисту інформації або залучати співвиконавців, що мають відповідні ліцензії.

16 листопада 2002 року постановою Кабінету Міністрів України № 1772 був затверджений «Порядок взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах», який визначає механізм взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в ІТС.

Поняття, що використовуються у Порядку, мають таке значення:
- несанкціоновані дії - доступ або спроба такого доступу до державних інформаційних ресурсів в ІТС без відповідно оформленого власником або уповноваженою ним особою дозволу, вірусне ураження, вчинення інших дій, які можуть призвести до порушення цілісності, доступності та конфіденційності цих ресурсів;
- телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання (випромінювання) або приймання сигналів, знаків, звуків, рухомих чи нерухомих зображень або іншим способом.

Згідно п.3 Порядку органи виконавчої влади з метою захисту державних інформаційних ресурсів в ІТС:
- визначають перелік ІТС, які містять державні інформаційні ресурси, та погоджують його з Адміністрацією Держспецзв'язку (далі - Адміністрація);
- здійснюють згідно з вимогами  нормативно-правових  актів  з питань захисту інформації під методичним керівництвом Адміністрації заходи щодо захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах, у  тому числі підключених до глобальних мереж передавання даних;
- збирають, узагальнюють та аналізують інформацію про  вчинення несанкціонованих   дій і  здійснюють заходи щодо усунення їх наслідків;
- невідкладно (протягом доби) інформують Адміністрацію про спробу вчинення чи вчинення несанкціонованих дій;
- надають на запит Адміністрації інформацію про технічні та програмні засоби, що використовуються для надання мережних послуг, а також про зміни у способах або видах підключення до глобальних мереж передавання даних;
- оновлюють за рекомендаціями Адміністрації антивірусні програмні засоби, використовуючи при цьому лише ті з них, які пройшли державну експертизу.

Згідно п.4 Порядку Адміністрація:
- здійснює методичне керівництво та координує діяльність органів виконавчої влади, пов'язану із запобіганням, виявленням, реагуванням та усуненням наслідків несанкціонованих дій щодо державних інформаційних ресурсів в ІТС, надає в разі потреби допомогу у здійсненні заходів щодо запобігання порушенню цілісності, доступності та конфіденційності зазначених ресурсів;
- надає органам виконавчої влади відомості про антивірусні програмні засоби, які можуть застосовуватися для захисту державних інформаційних ресурсів в ІТС, та проводить перевірку їх оновлення;
- накопичує та аналізує дані про вчинення та/або спроби вчинення несанкціонованих дій щодо державних інформаційних ресурсів в ІТС, а також про їх наслідки, інформує правоохоронні органи для вжиття заходів із запобігання та припинення злочинів у зазначеній сфері, оцінює стан захищеності цих ресурсів та надає відповідні рекомендації.

5. Адміністрація взаємодіє з органами виконавчої влади з питань захисту державних інформаційних ресурсів в ІТС через спеціально уповноважений підрозділ з питань безпеки ІТС Адміністрації.

6. Відновлення функціонування ІТС, виведених з ладу внаслідок вчинення несанкціонованих дій, здійснюється органами виконавчої влади за умови повного блокування таких дій та усунення їх наслідків власними силами (у разі потреби - за допомогою Адміністрації), виявлення та усунення причин, в тому числі шляхом удосконалення КСЗІ.

26 березня 2007 року наказом Адміністрації № 45 був затверджений «Порядок оновлення антивірусних програмних засобів, які мають позитивний експертний висновок за результатами державної експертизи в сфері ТЗІ» (далі - Порядок), зареєстрований в Міністерстві юстиції України 10.04.2007 за № 320/13587.

Поняття, що використовуються у Порядку, мають таке значення:
- центр антивірусного захисту інформації (далі - ЦАЗІ) - організаційно-технічний комплекс, призначений для вирішення питання захисту ІТС від комп'ютерних вірусів з подальшим розвитком комплексного підходу до проблеми антивірусного захисту ІТС;
- комп'ютерний вірус - програма, що здатна створювати свої копії, модифіковані копії, які можуть цілком не відповідати оригіналу, і впроваджувати їх у різні об'єкти/ресурси ІТС безвідома користувача, й направлена на деструктивну дію;
- антивірусний програмний засіб (далі - АВПЗ) – програмне забезпечення, яке призначене для захисту об'єктів/ресурсів ІТС відушкодження комп'ютерними вірусами;
- антивірусне оновлення АВПЗ - складова частина АВПЗ, яка розробляється створення засобу та призначена для пристосування АВПЗ до захисту об'єктів/ресурсів ІТС від ушкодженнята зараження новими вірусами.

5. Оновлення АВПЗ здійснюється шляхом організації та забезпечення процесу отримання та впровадження в АВПЗ антивірусних оновлень.

6. Оновлення АВПЗ, який пройшов державну експертизу та має позитивний  експертний висновок Адміністрації Держспецзв'язку, здійснюється з використанням антивірусних оновлень, які розміщуються на веб-сайті ЦАЗІ.

7. На веб-сайті ЦАЗІ розміщуються тільки антивірусні оновлення АВПЗ, які пройшли експрес-експертизу. Крім того, на веб-сайті можна подивитись перелік АВПЗ, що отримало позитивний експертний висновок Держспецзв'язку.

8. Експрес-експертиза антивірусного оновлення АВПЗ здійснюється ЦАЗІ шляхом перевірки АВПЗ з впровадженим антивірусним оновленням на його відповідність експертному висновку, виданому за результатами державної експертизи.

У подальшому під антивірусним оновленням АВПЗ розуміється антивірусне оновлення АВПЗ, яке пройшло експрес-експертизу.

9. Органи державної влади, органи місцевого самоврядування, утворені відповідно до законів України військові формування, підприємства, установи і організації державної форми власності:
- не менше ніж раз на день отримують антивірусні оновлення АВПЗ за допомогою веб-серверу ЦАЗІ;
- інсталюють отримані за допомогою веб-серверу ЦАЗІ антивірусні оновлення АВПЗ відповідно до технічної документації АВПЗ;
- для забезпечення авторизованого доступу до ресурсів веб-серверу ЦАЗІ щороку до 1 березня та, у разі внесення змін, протягом 3 днів надають до Адміністрації Держспецзв'язку відомості щодо кожного користувача у паперовому вигляді за визначеною формою.

10. Адміністрація Держспецзв'язку:
- організовує за допомогою спеціалізованого програмного забезпечення отримання органами державної влади, органами місцевого самоврядування, утвореними відповідно до законів України військовими формуваннями, підприємствами, установами та організаціями державної форми власності антивірусних оновлень для антивірусних програмних засобів, які мають позитивний експертний висновок за результатами державної експертизи в сфері технічного захисту інформації, та забезпечує функціонування веб-серверу ЦАЗІ;
- заносить надану органами державної влади, органами місцевого самоврядування, утвореними відповідно до законів України військовими формуваннями, підприємствами, установами та організаціями державної форми власності реєстраційну інформацію до бази даних користувачів ЦАЗІ. Реалізує автентифікацію та ідентифікацію користувачів відповідно до цієї бази даних;
- проводить експрес-експертизу антивірусних оновлень АВПЗ;
- розробляє рекомендації щодо тримання антивірусних оновлень антивірусного програмного засобу та їх розміщення на веб-сайті ЦАЗІ;
- використовує механізм ЕЦП для підтвердження цілісності антивірусних оновлень АВПЗ та ідентифікації підписувача після впровадження в органі державної влади, органі місцевого самоврядування, утворених відповідно до законів України військових формуваннях, підприємствах, установах та організаціях державної форми власності ЕЦП.

10 червня 2008 року наказом Адміністрації № 94 був затверджений «Порядок координації діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в ІТС», зареєстрований в Міністерстві юстиції України 7 липня 2008 року за № 603/15294.

Терміни, що використовуються у цьому Порядку, мають таке значення:
- адміністратор безпеки ІТС - посадова особа суб'єкта координації, яка є відповідальною за дотримання політики безпеки інформації в ІТС відповідного суб'єкта координації;
- Координатор - уповноважений структурний підрозділ Адміністрації Держспецзв'язку.

Згідно п. 3 Порядку суб'єкти координації у разі виявлення спроби вчинення та/або вчинення несанкціонованих дій вживають заходів щодо:
- блокування, усунення або локалізації їх негативних наслідків власними силами відповідно до Закону України «Про захист інформації в ІТС» та інших нормативно-правових актів у сфері технічного захисту інформації;
- невідкладного (протягом доби) інформування Координатора про несанкціоновані дії, для чого адміністратор безпеки ІТС або особа, яка виконує його обов'язки, надсилає на електронні поштові адреси Координатора відповідне електронне повідомлення, зразок якого наведено у додатку 1;
- збереження (фіксації) ознак несанкціонованих дій, у тому числі на матеріальних носіях інформації;
- захисту державних інформаційних ресурсів відповідно до рекомендацій, наданих Координатором адміністратору безпеки ІТС електронною поштою, телефоном, факсом чи іншим способом;
- надсилання до Адміністрації Держспецзв'язку письмового  повідомлення, зразок якого наведено у додатку 2, яке підтверджує надіслане раніше електронне повідомлення протягом 7 (семи) робочих днів з моменту виявлення факту несанкціонованих дій;
- забезпечення у разі необхідності фізичного доступу співробітників Координатора до ІТС для виконання заходів щодо блокування та локалізації негативних наслідків несанкціонованих дій та відновлення працездатності ІТС.

Згідно п. 4 Порядку Координатор під час виконання покладених на нього завдань:
- взаємодіє з органами державної влади, провайдерами та операторами телекомунікацій, установами, підприємствами та організаціями усіх форм власності України;
- для організації своєчасного обміну інформацією про несанкціоновані дії використовує веб-сторінку CERT-UA і електронні поштові адреси cert@cert.gov.ua та cert@dsszzi.gov.ua;
- здійснює міжнародне співробітництво з питань, що належать до компетенції Держспецзв'язку;
- з метою своєчасного запобігання та припинення злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж вживає заходів щодо своєчасного інформування правоохоронних органів України про виявлені суб'єктами координації несанкціоновані дії.

CERT-UA (скор. Computer Emergency Response Team of Ukraine - команда реагування на комп’ютерні надзвичайні події України) – спеціалізований структурний підрозділ Державного центру захисту інформаційно-телекомунікаційних систем (ДЦЗ ІТС) Держспецзв’язку.

Згідно п. 5 Порядку Координатор не має права:
- розголошувати відомості, що стали йому відомі процесі координації діяльності суб'єктів координації, з питань, пов'язаних із запобіганням вчиненню порушень безпеки інформації в ІТС без погодження з розпорядником інформації (інформаційного ресурсу);
- припиняти або призупиняти функціонування будь-яких ІТС та електронних інформаційних ресурсів.

Згідно п.6 Порядку аналітичні матеріали щодо несанкціонованих дій стосовно державних інформаційних ресурсів в ІТС суб'єктів координації вносяться до щорічного звіту Голови Держспецзв'язку Президенту, Верховній Раді та Кабінету Міністрів України.

Складовою частиною Національного реєстру електронних інформаційних ресурсів є Реєстр ІТС державних органів (далі - Реєстр), який ведеться згідно «Положення про Реєстр ІТС органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління», затвердженого постановою Кабінету Міністрів України від 3 серпня 2005 року № 688.

Ведення Реєстру забезпечує Адміністрація Держспецзв'язку згідно «Порядку формування й користування інформаційним фондом Реєстру ІТС органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління», затвердженого наказом Адміністрації Держспецзв'язку від 24 квітня 2007 року № 72, зареєстрованого в Міністерстві юстиції України 14.05.2007 за № 500/13767.

Цей Порядок визначає види та форми надання відомостей до інформаційного фонду Реєстру (далі - Інформаційний фонд) та правила користування ним. Відомості про ІТС подаються ще на стадії технічного проектування систем, а у разі модернізації функціонуючих ІТС - на стадії створення КСЗІ в цих системах. У разі введення в експлуатацію або припинення функціонування ІТС відповідний державний орган у 10-денний строк повідомляє про це адміністратора Реєстру.

Відомості до Інформаційного фонду подаються на оптичних носіях типу CD-R із супровідним листом за підписом керівника державного органу. Після впровадження в державному органі електронно-цифрового підпису зазначені відомості надаються з додержанням вимог чинного  законодавства в електронному вигляді мережами передачі даних або надсилаються поштою на електронних носіях інформації. Носії інформації адресату не повертаються.

Державні органи двічі на рік (станом на 1 січня - до 1 лютого та станом на 1 липня - до 1 серпня) надають Адміністратору Реєстру узагальнені відомості про власні ІТС. Надалі в ті ж самі терміни державними органами надсилаються Адміністратору Реєстру відомості лише про ІТС, у яких відбулися зміни з моменту останнього надання інформації про них.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика