З метою проведення заходів із створення та впровадження комплексних систем захисту інформації в автоматизованих системах класу "1" Міністерства регіонального розвитку, будівництва та житлово-комунального господарства України, які призначені для обробки інформації, що становить державну таємницю, та інформації зі ступенем обмеження доступу "Для службового користування", відповідно до законів України "Про захист інформації в інформаційно-телекомунікаційних системах" (80/94-ВР) та "Про державну таємницю" (3855-12) , вимог ДСТУ 3396.0-96 "Захист інформації. Технічний захист інформації. Основні положення", НД ТЗІ 1.4-001-2000 "Типове положення про службу захисту інформації в автоматизованій системі", НД ТЗІ 2.6-001-11 "Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах"

1. Затвердити Положення про службу захисту інформації в автоматизованих системах класу "1" Міністерства регіонального розвитку, будівництва та житлово-комунального господарства України, що додається.

2. Контроль за виконанням цього наказу залишаю за собою.

Положення про службу захисту інформації в автоматизованих системах класу "1" Міністерства регіонального розвитку, будівництва та житлово-комунального господарства України

1. Положення про службу захисту інформації (далі - Положення) в автоматизованих системах (далі - АС) класу "1" ("АС1-РСО-1", "АС1-РСО-2" та "АС1-ДСК") на об'єктах електронно-обчислювальної техніки Міністерства регіонального розвитку, будівництва та житлово-комунального господарства України визначає завдання, функції, штатну структуру, повноваження та відповідальність служби захисту інформації, взаємодію з іншими підрозділами та зовнішніми організаціями.

2. У цьому Положенні наведено посилання на такі нормативно-правові акти:

1) Закон України "Про інформацію" (2657-12) ;

2) Закон України "Про захист інформації в інформаційно-телекомунікаційних системах" (80/94-ВР) ;

3) Закон України "Про державну таємницю" (3855-12) ;

4) Кодекс законів про працю України (322-08) ;

5) Концепція технічного захисту інформації в Україні, затверджена постановою Кабінету Міністрів України від 08.10.1997 № 1126 (1126-97-п) ;

6) Положення про технічний захист інформації в Україні, затверджене указом Президента України від 27.09.1999 № 1229 (1229/99) ;

7) Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджене постановою Кабінету Міністрів України від 16.02.1998 № 180 (180-98-п) ;

8) НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

9) НД ТЗІ 1.1-003-99. Термінологія у галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;

10) НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;

11) НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу;

12) НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі.

3. Терміни та визначення в цьому Положенні застосовуються відповідно до встановлених ДСТУ 3396.2-96 "Захист інформації. Технічний захист інформації. Терміни та визначення", НД ТЗІ 1.1-003-99 "Термінологія у галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу" та ДСТУ 2226-93 "Автоматизовані системи. Терміни та визначення".

4. Власник АС, в яких обробляється інформація з обмеженим доступом, що становить державну таємницю, або інформація з обмеженим доступом, яка є власністю держави, утворює службу захисту інформації (далі - СЗІ) або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.

5. У зв'язку з умовами функціонування та порядком експлуатації АС, які визначаються відповідно до статті 8 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", пункту 14 Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в інформаційних, телекомунікаційних та інформаційно -телекомунікаційних системах, затвердженого постановою Кабінету Міністрів України від 16.02.1998 № 180 (180-98-п) , та пункту 18 Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29.03.2006 № 373 (373-2006-п) , окрема служба захисту інформації в АС Міністерства може не створюватись. У таких випадках здійснення обов'язків СЗІ в АС Міністерства покладаються на особу, яка призначається наказом керівника Міністерства.

На час відсутності особи, на яку покладено здійснення обов'язків СЗІ (у зв'язку з відпусткою, службовим відрядженням, хворобою тощо), його обов'язки тимчасово виконує інша визначена керівником Міністерства особа.

Припинення повноважень особи, на яку покладено здійснення обов'язків СЗІ, здійснюється наказом керівника Міністерства.

6. СЗІ здійснює свою діяльність відповідно до Плану захисту інформації, календарних та інших планів робіт. Для проведення окремих заходів з захисту інформації в АС Міністерства, які пов'язані з напрямом діяльності інших підрозділів Міністерства, перелік, строки виконання та підрозділи для виконання цих робіт мають бути визначені окремо.

7. У своїй роботі СЗІ взаємодіє з режимно-секретним органом Міністерства (далі - РСО), а також з державними органами, установами та організаціями, що займаються питаннями захисту інформації.

У разі потреби до виконання робіт можуть залучатися зовнішні організації, що мають ліцензії на відповідний вид діяльності у сфері захисту інформації (за їх згодою).

8. Завданнями СЗІ є:

1) захист прав щодо безпеки інформації в АС класу "1" Міністерства в процесі інформаційної діяльності та внутрішньої взаємодії;

2) дослідження технології обробки інформації в АС з метою виявлення можливих каналів витоку (для АС1-РСО-1 та АС1-РСО-2) та інших загроз для безпеки інформації, участь у формуванні моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію;

3) організація та координація робіт, пов'язаних із забезпеченням захисту інформації, необхідність захисту якої визначається чинним законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій;

4) участь у розробленні проектів нормативних і розпорядчих документів, чинних у Міністерстві, згідно з якими повинен забезпечуватися захист інформації в АС класу "1";

5) організація робіт зі створення і використання комплексної системи захисту інформації (далі - КСЗІ) на всіх етапах життєвого циклу АС;

6) участь в організації підвищення кваліфікаційного рівня користувачів АС з питань захисту інформації;

7) організація забезпечення виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів з захисту інформації в АС класу "1" та проведення контрольних перевірок їх виконання;

8) організація та координація робіт, пов'язаних з захистом інформації під час її обробки в АС класу "1".

9. Функції СЗІ під час створення комплексної системи захисту інформації включають:

1) визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об'єктів захисту в АС, класифікація інформації за вимогами до її конфіденційності або важливості для організації, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в АС;

2) участь у розробленні та коригуванні моделі загроз і моделі захисту інформації в АС, політики безпеки інформації в АС;

3) визначення і формування вимог до КСЗІ;

4) організація і координація робіт з проектування та розроблення КСЗІ, безпосередня участь у проектних роботах з створення КСЗІ;

5) підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами (для АС1-РСО-1 та АС1-РСО-2) та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ;

6) організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи;

7) вибір організацій-виконавців робіт з створення КСЗІ (у разі необхідності), здійснення контролю за дотриманням встановленого порядку проведення робіт з захисту інформації, у взаємодії з підрозділом РСО погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт та ін.);

8) участь у розробленні нормативних документів, чинних у межах Міністерства і АС, які встановлюють дисциплінарну відповідальність за порушення вимог з безпеки інформації та встановлених правил експлуатації КСЗІ;

9) участь у розробленні нормативних документів, чинних у межах організації і АС, які встановлюють правила доступу користувачів до ресурсів АС, визначають порядок, норми, правила з захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій).

10. Функції СЗІ під час експлуатації комплексної системи захисту інформації включають:

1) організацію процесу керування КСЗІ;

2) розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження архіву даних таких подій;

3) вжиття заходів у разі виявлення спроб несанкціонованого доступу (далі - НСД) до ресурсів АС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;

4) забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;

5) спостереження за функціонуванням КСЗІ та її компонентів;

6) підготовку пропозицій щодо удосконалення порядку забезпечення захисту інформації в АС, впровадження нових технологій захисту і модернізації КСЗІ;

7) організацію та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій АС або КСЗІ;

8) участь в роботах з модернізації АС - узгодженні пропозицій з введення до складу АС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;

9) забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування;

10) проведення аналітичної оцінки поточного стану безпеки інформації в АС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз та ін.);

11) надання у встановленому порядку звітів керівництву Міністерства щодо реалізованих технічних можливостей захисту інформації в АС і типових правил, встановлених для персоналу і користувачів АС;

12) негайне втручання в процес роботи АС у разі виявлення атаки на КСЗІ або АС, проведення у таких випадках робіт з викриття порушника;

13) подання звітів керівництву про виконання користувачами АС вимог з захисту інформації;

14) аналіз відомостей щодо технічних засобів захисту інформації нового покоління, обґрунтування пропозицій щодо придбання цих засобів для АС;

15) контроль за виконанням персоналом і користувачами АС Міністерства вимог, норм, правил, інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації, у тому числі контроль за забезпеченням режиму секретності (для АС1-РСО-1 та АС1-РСО-2).

11. Функції СЗІ з організації навчання персоналу з питань забезпечення захисту інформації включають:

1) надання у встановленому порядку керівництву Міністерства пропозицій щодо підвищення кваліфікації адміністраторів та користувачів АС класу "1";

2) участь у підготовці пропозицій щодо забезпечення навчального процесу необхідною матеріальною базою, навчальними посібниками, нормативно-правовими актами, нормативними документами, методичною літературою та ін.;

3) участь в організації і проведенні навчання користувачів і персоналу АС правилам роботи з КСЗІ, захищеними технологіями, захищеними ресурсами;

4) взаємодію з державними органами, навчальними закладами, іншими організаціями з питань навчання та підвищення кваліфікації.

12. СЗІ має право:

1) подавати пропозиції керівництву Міністерства щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки тощо у разі виявлення порушень політики безпеки або виникнення реальної загрози порушення безпеки;

2) складати і подавати керівництву організації акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення;

3) блокувати обліковий запис користувача, якщо в рамках його роботи було зафіксовано загрозу АС;

4) перевіряти дотримання належного рівня інформаційної безпеки в процесі збереження/використання атрибутів доступу користувача;

5) брати участь у будь-яких перевірках компонентів АС;

6) обмежувати права користувачів щодо доступу до послуг АС;

7) брати участь у проведенні службових розслідувань у випадках виявлення порушень та готувати рекомендації щодо їхнього усунення;

8) готувати пропозиції щодо залучення на договірній основі до виконання робіт з захисту інформації інші організації, що мають ліцензії на відповідний вид діяльності;

9) готувати пропозиції щодо забезпечення АС (та КСЗІ в її складі) необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення захисту інформації;

10) вносити керівництву Міністерства пропозиції щодо подання заяв до відповідних державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів захисту інформації;

11) узгоджувати умови включення до складу АС нових компонентів та подавати керівництву пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів АС.

13. Особи, на яких покладено здійснення обов'язків СЗІ, за невиконання або неналежне виконання службових обов'язків, допущені ними порушення встановленого порядку захисту інформації в АС несуть дисциплінарну, адміністративну, цивільно-правову, кримінальну відповідальність згідно з законодавством України.

14. СЗІ зобов'язана:

1) організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів з захисту інформації в АС;

2) вчасно і в повному обсязі доводити до користувачів і адміністраторів АС інформацію про зміни в галузі захисту інформації, які їх стосуються;

3) перевіряти відповідність прийнятих в АС правил, інструкцій щодо обробки інформації, здійснювати контроль за виконанням цих вимог;

4) здійснювати контрольні перевірки стану захищеності інформації в АС;

5) забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в АС;

6) за вказівкою керівництва брати безпосередню участь у проведенні органами, що мають право здійснювати перевірки, перевірок стану захищеності інформації в АС;

7) негайно повідомляти керівництво Міністерства про виявлені факти реалізації загроз та викриття порушників.

15. Особи, на яких покладено здійснення обов'язків СЗІ, є відповідальними за виконання покладених на них функцій та коректне використання наданих повноважень, зокрема:

1) додержання вимог нормативних документів, що визначають порядок організації робіт з захисту інформації, інформаційних ресурсів та технологій її обробки;

2) повноту та якість розроблення і впровадження організаційно-технічних заходів з захисту інформації в АС, точність та достовірність отриманих результатів і висновків з питань, що належать до компетенції відповідальної особи;

3) дотримання термінів проведення заходів з оцінки стану захищеності інформації в АС, які включені до плану робіт відповідальної особи;

4) забезпечення захисту програмно-апаратних та інформаційних ресурсів АС;

5) дотримання встановлених процедур відпрацювання штатних ситуацій;

6) виконання розпоряджень керівника Міністерства, правил внутрішнього трудового розпорядку, встановленого режиму, правил охорони праці та протипожежної охорони.

16. Особам, на яких покладено здійснення обов'язків СЗІ, забороняється зберігати або ознайомлюватись із інформацією з обмеженим доступом, яка стала їм доступною внаслідок виконання своїх обов'язків.

17. Особи, на яких покладено здійснення обов'язків СЗІ, є відповідальними за якість виконуваних ними робіт з контролю дій користувачів при використанні послуг АС.

У випадку порушення вимог Положення особи, на яких покладено здійснення обов'язків СЗІ, є відповідальними відповідно до чинного законодавства України.

18. Через керівництво Міністерства СЗІ здійснює та координує свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами і установами, що займаються питаннями захисту інформації.

Заходи з захисту інформації в АС Міністерства повинні бути узгоджені СЗІ із заходами охоронної та режимно-секретної діяльності.

19. СЗІ взаємодіє з:

1) РСО Міністерства;

2) зовнішніми організаціями, які є постачальниками та виконавцями робіт із захисту інформації чи розроблення засобів АС;

3) іншими державними органами у сфері захисту інформації.

Взаємодію з іншими підрозділами Міністерства з питань, що безпосередньо не пов'язані з захистом інформації, СЗІ здійснює відповідно до доручень керівництва Міністерства.

20. У зв'язку із невеликими об'ємами оброблюваної засобами АС інформації здійснення обов'язків СЗІ в АС режимно-секретного органу Міністерства покладаються на особу, призначену наказом Міністерства від 19.04.2016 № 5РС.

Зміна структури СЗІ здійснюється за наказом керівника Міністерства.

21. СЗІ здійснює свою роботу з реалізації основних організаційних та організаційно-технічних заходів зі створення і забезпечення функціонування КСЗІ відповідно до планів робіт. Підставою для розроблення планів робіт є План захисту інформації.

22. До планів включаються такі основні заходи:

1) разові (одноразово виконувані, необхідність у повторенні яких виникає за умови повного перегляду прийнятих рішень з захисту інформації);

2) постійно виконувані (заходи, що потребують виконання неперервного або дискретного у випадковий чи заданий час);

3) періодично виконувані (з заданим інтервалом часу);

4) виконувані за необхідності (заходи, що потребують виконання під час здійснення або виникнення певних змін в АС чи зовнішньому середовищі).

Основним видом планування робіт СЗІ може бути календарний план робіт з реалізації заходів захисту інформації в АС, складений на підставі Плану захисту інформації в АС

23. Засоби захисту інформації та захищені засоби, що використовуються СЗІ при виконанні своїх службових обов'язків, повинні мати одержаний у встановленому порядку документ (сертифікат відповідності, експертний висновок), що засвідчує їхню відповідність вимогам нормативних документів.

Про затвердження Положення про службу захисту інформації в автоматизованих системах класу "1"