Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Зареєстровано в Міністерстві юстиції України 11 січня 2002 р за n 27/6315

Скачати 55.96 Kb.

Зареєстровано в Міністерстві юстиції України 11 січня 2002 р за n 27/6315




Скачати 55.96 Kb.
Дата конвертації08.05.2017
Розмір55.96 Kb.

ЗАРЕЄСТРОВАНО
в Міністерстві юстиції України
11 січня 2002 р. за N 27/6315

ЗАТВЕРДЖЕНО
Наказ Департаменту спеціальних 
телекомунікаційних систем та захисту
інформації Служби безпеки України
24 грудня 2001 р. N 76

ПОРЯДОК
захисту державних інформаційних ресурсів в
інформаційно-телекомунікаційних систем

 

Терміни та визначення

1.

Інформаці́йні ресу́рси (Information resources) - документи і масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, депозитаріях, музейних сховищах і т.і.). Розрізняють інформаційні ресурси державні та недержавні.
Ужиті в цьому документі терміни та визначення мають таке значення:
державні інформаційні ресурси - інформація, яка є власністю  держави та (або) необхідність захисту якої визначено законодавством;
інформаційно-телекомунікаційна система - організаційно-технічна сукупність, що складається з автоматизованої системи та мережі передачі даних;
дані - інформація, яка передається мережею передачі даних незалежно від способу її фізичного та логічного представлення;
мережа передачі даних - організаційно-технічна система, яка складається з комплексів телекомунікаційного обладнання (вузлів комутації) та реалізує технологію інформаційного обміну з використанням первинної мережі зв'язку;
оператор мережі передачі даних (вузла комутації) - юридична особа, що здійснює діяльність з надання послуг з передачі даних;
Передача даних (обмін даними, цифрова передача, цифровий зв'язок) - фізичне перенесення даних цифрового (бітового) потоку у вигляді сигналів від точки до точки або від точки до множини точок засобами електрозв'язку каналом зв'язку; як правило, для подальшої обробки засобами обчислювальної техніки.
Автоматизо́вана систе́ма (АС) (англ. automated system) - сукупність керованого об'єкта й автоматичних керуючих пристроїв, у якій частину функцій керування виконує людина. АС являє собою організаційно-технічну систему, що забезпечує вироблення рішень на основі автоматизації інформаційних процесів у різних сферах діяльності (управління, проектування, виробництво тощо) або їх поєднаннях.
Юриди́чна осо́ба - організація, суб'єкт права, здатний від свого імені набувати майнових і особистих немайнових прав і нести обов'язки та самостійно брати участь у правовідносинах, бути позивачем та відповідачем у суді.

користувач мережі передачі даних - фізична або юридична особа (власник автоматизованої системи), яка користується послугами мережі передачі даних за договором з оператором.


Загальні положення

2. Цей документ (далі - Порядок) визначає основи організації та порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (далі - ІТС).

3. Правову основу Порядку становлять Закони України "Про інформацію" ( 2657-12 ), "Про захист інформації в автоматизованих системах" ( 80/94-ВР ) та "Про зв'язок" ( 160/95-ВР ), інші
нормативно-правові акти у сфері захисту інформації.

Закон України - нормативно-правовий акт, який приймається Верховною Радою України більшістю голосів (для законів, що стосуються внесення змін до конституції, - конституційною більшістю голосів).

4. Дія Порядку поширюється на ІТС, які обробляють, зберігають, передають державні інформаційні ресурси.

5. Вимоги Порядку обов'язкові для всіх власників автоматизованих систем, що входять до складу ІТС (користувачів мереж передачі даних), а також для підприємств (установ, організацій) усіх форм власності, які є операторами мереж передачі даних (далі - МПД) усіх типів: відомчих, подвійного призначення, загального користування, глобальних (у тому числі Інтернет).

Форма власності - це стійка система економічних відносин і господарських зв'язків, що зумовлює відповідний спосіб та механізм поєднання працівника і засобів виробництва.
Ас (фр. as - туз; в переносному розумінні - вмілий, сміливий) - майстер повітряного бою. Часом слово вживається і для означення будь-якого висококласного спеціаліста.

6. Дія Порядку не поширюються на державні системи спеціального зв'язку.




Забезпечення захисту державних інформаційних ресурсів в автоматизованих системах, що входять до складу ІТС

7. Захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу ІТС (далі - автоматизована система, АС), повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації (далі - КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації.

Комплексна система захисту інформації Комплексна система захисту інформації (КСЗІ) - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації (ЗІ).

8. Порядок створення та вимоги щодо КСЗІ в автоматизованих системах під час їх створення, експлуатації та модернізації визначаються Законом України "Про захист інформації в  автоматизованих системах" ( 80/94-ВР ), Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27 вересня 1999 р. N 1229 ( 1229/99 ), Положенням про порядок здійснення криптографічного захисту інформації в Україні, затвердженим Указом Президента України від 22 травня 1998 р.

Технічний захист інформації Техні́чний за́хист інформа́ції (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації.
Ука́з Президе́нта Украї́ни - це правовий акт глави держави, який видається з найважливіших питань, віднесених до його компетенції. Укази можуть мати як нормативний, так і ненормативний (правозастосовний характер).

N 505/98 ( 505/98 ), нормативно-правовими актами та нормативними документами систем технічного та криптографічного захисту інформації.
Нормативна документація - документи, які встановлюють правила, загальні принципи чи характеристики різних видів діяльності або їхніх результатів.

9. В АС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж.

Глоба́льна мере́жа - англ. Wide Area Network,(WAN)- комп'ютерна мережа, що охоплює величезні території (тобто будь-яка мережа, чиї комунікації поєднують цілі мегаполіси, області або навіть держави і містять у собі десятки, сотні а то і мільйони комп'ютерів).
Несанкціоно́ваний до́ступ до інформа́ції - доступ до інформації з порушенням посадових повноважень співробітника, доступ до закритої для публічного доступу інформації з боку осіб, котрі не мають дозволу на доступ до цієї інформації.

10. Конфіденційність інформації, яка є державними інформаційними ресурсами, під час передавання мережею передачі даних забезпечує власник АС з використанням засобів та заходів з криптографічного захисту інформації або оператор МПД за договором з власником АС.

11. Оброблення державних інформаційних ресурсів в автоматизованій системі, у тому числі їх передавання з використанням МПД, дозволяється тільки після отримання атестата відповідності КСЗІ вимогам із захисту інформації, який надається в установленому порядку Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - ДСТСЗІ СБ України) згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. N 62 ( z0040-00 ) і зареєстрованим в Міністерстві юстиції України 24 січня 2000 р.

Міністе́рство юсти́ції Украї́ни (скорочено Мін'юст) - центральний орган виконавчої влади України, діяльність якого спрямовується і координується Кабінетом Міністрів України.
Україна Украї́на (МФА: [ukrɑˈjinɑ]опис файлу) - держава у Східній Європі та частково в Центральній Європі, у південно-західній частині Східноєвропейської рівнини. Площа становить 603 628 км². Найбільша за площею країна з тих, чия територія повністю лежить у Європі, друга на європейському континенті, якщо враховувати Росію.
за N 40/4261.


Дозвіл на оброблення державних інформаційних ресурсів дається наказом керівника установи (підприємства, організації), яка є власником АС.


Забезпечення захисту державних інформаційних ресурсів в МПД
 
12. Основними завданнями підприємств (установ, організацій), які є операторами МПД, щодо забезпечення захисту державних інформаційних ресурсів є:
створення, упровадження та супроводження КСЗІ в МПД;
контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання.

13. Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.

14. Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД.

15. Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підриємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані.

16. Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.

Право доступу (англ. access right) - дозвіл або заборона здійснення певного типу доступу до інформаційної системи.
Сертифікат відповідності - документ, що виданий для підтвердження того, що продукція, система якості, система управління якістю, система управління довкіллям, персонал відповідає встановленим вимогам конкретного стандарту чи іншого нормативного документу, визначеного чинним законодавством.

Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом 
Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 р. N 329/32 ( z0640-01 ) і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за N 640/5831, а експертний висновок - згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. N 62 ( z0040-00 ) і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за N 40/4261.
У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам із захисту інформації здійснюється під час проведення державної експертизи КСЗІ.

17. Розроблення, виробництво, впровадження та обслуговування КСЗІ здійснюється оператором МПД самостійно за умови наявності в нього ліцензії на провадження відповідних видів робіт або із залученням інших підприємств-ліцензіатів у галузі захисту інформації.


Для організації робіт із розроблення, виробництва, впровадження та обслуговування КСЗІ, контролю за станом захищеності державних інформаційних ресурсів у МПД наказом керівника підприємства, яке є оператором МПД, визначається відповідальний підрозділ або відповідальна особа.

18. Фінансування всіх робіт із захисту державних інформаційних ресурсів у МПД здійснюється підприємством, яке є оператором МПД.

19. Передавання державних інформаційних ресурсів дозволяється тільки через вузли комутації, що мають атестат відповідності КСЗІ вимогам із захисту інформації, який надається в такому порядку, як і на КСЗІ в АС.

20. Особи, винні в порушенні порядку захисту державних інформаційних ресурсів у МПД, несуть відповідальність згідно з чинним законодавством України.




Контроль за забезпеченням захисту державних інформаційних ресурсів в ІТС

21. Контроль за забезпеченням захисту державних інформаційних ресурсів в ІТС здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України і полягає у перевірці виконання власниками АС та операторами МПД вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації.

Зако́нода́вство Украї́ни - сукупність чинних в Україні нормативно-правових актів.
Нормати́вно-правови́й а́кт - офіційний письмовий документ, прийнятий уповноваженими фізичними особами у визначеній законодавством формі та за встановленою законодавством процедурою, спрямований на регулювання суспільних джерел права що містить норми права, має неперсоніфікований характер і розрахований на неодноразове застосування.
Слу́жба безпе́ки Украї́ни (СБУ) - державний правоохоронний орган спеціального призначення, який забезпечує державну безпеку України. Підпорядкована Президенту України.

22. У разі виявлення в ІТС порушень вимог із захисту державних інформаційних ресурсів ДСТСЗІ СБ України порушує у встановленому порядку питання про припинення функціонування АС або використання МПД.

23. Власники АС та оператори МПД повинні створювати необхідні умови для здійснення державного контролю за забезпеченням захисту державних інформаційних ресурсів.

Держа́вний контро́ль - одна з форм здійснення державної влади, що забезпечує дотримання законів і інших правових актів, що видаються органами держави. Здійснення державного контролю - одна з важливих функцій державного управління.

24. Власники АС та оператори МПД повинні повідомляти ДСТСЗІ СБ України про виявлені ними спроби та факти здійснення несанкціонованих дій щодо державних інформаційних ресурсів.
Оператори МПД повинні надавати власнику АС відомості про виявлені ними спроби та факти здійснення несанкціонованих дій в мережах передачі даних щодо інформації, яка йому належить.

25. Порядок організації та здійснення контролю за забезпеченням захисту державних інформаційних ресурсів в ІТС визначається відповідними нормативно-правовими актами.



Перший заступник начальника Департаменту

В. Барлабанов


Скачати 55.96 Kb.

  • ПОРЯДОК захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних систем Терміни та визначення
  • Забезпечення захисту державних інформаційних ресурсів в автоматизованих системах, що входять до складу ІТС
  • Міністерстві юстиції України
  • Забезпечення захисту державних інформаційних ресурсів в МПД
  • Служби безпеки України