Про затвердження Порядку захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах СБУ Накази за №76 від 24.12.2001 Про затвердження Порядку захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 24 грудня 2001 року N 76 Зареєстровано в Міністерстві юстиції України 11 січня 2002 р. за N 27/6315 На виконання статті 2 Указу Президента України від 24 вересня 2001 року N 891/2001 "Про деякі заходи щодо захисту державних інформаційних ресурсів у мережах передачі даних" та з метою забезпечення захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах НАКАЗУЮ: 1. Затвердити Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (додається). 2. Заступнику начальника Департаменту забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України. 3. Першому заступнику начальника Департаменту - начальнику Інспекції з питань захисту інформації забезпечити контроль за додержанням встановленого порядку захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах. 4. Контроль за виконанням цього наказу покласти на першого заступника начальника Департаменту. Начальник Департаменту О. П. Скриник ЗАТВЕРДЖЕНО наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 24 грудня 2001 р. N 76 Зареєстровано в Міністерстві юстиції України 11 січня 2002 р. за N 27/6315
ПОРЯДОК захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах Терміни та визначення 1. Ужиті в цьому документі терміни та визначення мають таке значення: державні інформаційні ресурси - інформація, яка є власністю держави та (або) необхідність захисту якої визначено законодавством; інформаційно-телекомунікаційна система - організаційно-технічна сукупність, що складається з автоматизованої системи та мережі передачі даних; дані - інформація, яка передається мережею передачі даних незалежно від способу її фізичного та логічного представлення; мережа передачі даних - організаційно-технічна система, яка складається з комплексів телекомунікаційного обладнання (вузлів комутації) та реалізує технологію інформаційного обміну з використанням первинної мережі зв'язку; оператор мережі передачі даних (вузла комутації) - юридична особа, що здійснює діяльність з надання послуг з передачі даних; користувач мережі передачі даних - фізична або юридична особа (власник автоматизованої системи), яка користується послугами мережі передачі даних за договором з оператором. Загальні положення 2. Цей документ (далі - Порядок) визначає основи організації та порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (далі - ІТС). 3. Правову основу Порядку становлять Закони України "Про інформацію", "Про захист інформації в автоматизованих системах" та "Про зв'язок", інші нормативно-правові акти у сфері захисту інформації. 4. Дія Порядку поширюється на ІТС, які обробляють, зберігають, передають державні інформаційні ресурси. 5. Вимоги Порядку обов'язкові для всіх власників автоматизованих систем, що входять до складу ІТС (користувачів мереж передачі даних), а також для підприємств (установ, організацій) усіх форм власності, які є операторами мереж передачі даних (далі - МПД) усіх типів: відомчих, подвійного призначення, загального користування, глобальних (у тому числі Інтернет). 6. Дія Порядку не поширюється на державні системи спеціального зв'язку. Забезпечення захисту державних інформаційних ресурсів в автоматизованих системах, що входять до складу ІТС 7. Захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу ІТС (далі - автоматизована система, АС), повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації (далі - КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації. 8. Порядок створення та вимоги щодо КСЗІ в автоматизованих системах під час їх створення, експлуатації та модернізації визначаються Законом України "Про захист інформації в автоматизованих системах", Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27 вересня 1999 р. N 1229, Положенням про порядок здійснення криптографічного захисту інформації в Україні, затвердженим Указом Президента України від 22 травня 1998 р. N 505/98, нормативно-правовими актами та нормативними документами систем технічного та криптографічного захисту інформації. 9. В АС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж. 10. Конфіденційність інформації, яка є державними інформаційними ресурсами, під час передавання мережею передачі даних забезпечує власник АС з використанням засобів та заходів з криптографічного захисту інформації або оператор МПД за договором з власником АС. 11. Оброблення державних інформаційних ресурсів в автоматизованій системі, у тому числі їх передавання з використанням МПД, дозволяється тільки після отримання атестата відповідності КСЗІ вимогам із захисту інформації, який надається в установленому порядку Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - ДСТСЗІ СБ України) згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. N 62 і зареєстрованим в Міністерстві юстиції України 24 січня 2000 р. за N 40/4261. Дозвіл на оброблення державних інформаційних ресурсів дається наказом керівника установи (підприємства, організації), яка є власником АС. Забезпечення захисту державних інформаційних ресурсів в МПД 12. Основними завданнями підприємств (установ, організацій), які є операторами МПД, щодо забезпечення захисту державних інформаційних ресурсів є: створення, упровадження та супроводження КСЗІ в МПД; контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання. 13. Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації. 14. Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД. 15. Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підприємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані. 16. Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку. Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 р. N 329/32 і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за N 640/5831, а експертний висновок - згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. N 62 і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за N 40/4261. У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам із захисту інформації здійснюється під час проведення державної експертизи КСЗІ. 17. Розроблення, виробництво, впровадження та обслуговування КСЗІ здійснюється оператором МПД самостійно за умови наявності в нього ліцензії на провадження відповідних видів робіт або із залученням інших підприємств-ліцензіатів у галузі захисту інформації. Для організації робіт із розроблення, виробництва, впровадження та обслуговування КСЗІ, контролю за станом захищеності державних інформаційних ресурсів у МПД наказом керівника підприємства, яке є оператором МПД, визначається відповідальний підрозділ або відповідальна особа. 18. Фінансування всіх робіт із захисту державних інформаційних ресурсів у МПД здійснюється підприємством, яке є оператором МПД. 19. Передавання державних інформаційних ресурсів дозволяється тільки через вузли комутації, що мають атестат відповідності КСЗІ вимогам із захисту інформації, який надається в такому порядку, як і на КСЗІ в АС. 20. Особи, винні в поруш