ДЕПАРТАМЕНТ СПЕЦІАЛЬНИХ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА ЗАХИСТУ ІНФОРМАЦІЇ СЛУЖБИ БЕЗПЕКИ УКРАЇНИ Н А К А З N 76 від 24.12.2001 Зареєстровано в Міністерстві юстиції України 11 січня 2002 р. за N 27/6315 Про затвердження Порядку захисту державних інформаційних ресурсів у інформаційно-телекомунікаційних системах На виконання статті 2 Указу Президента України від 24 вересня 2001 року N 891/2001 ( 891/2001 ) "Про деякі заходи щодо захисту державних інформаційних ресурсів у мережах передачі даних" та з метою забезпечення захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах Н А К А З У Ю: 1. Затвердити Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (додається). 2. Заступнику начальника Департаменту забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України. 3. Першому заступнику начальника Департаменту - начальнику Інспекції з питань захисту інформації забезпечити контроль за додерженням установленого порядку захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах. 4. Контроль за виконанням цього наказу покласти на першого заступника начальника Департаменту. Начальник Департаменту О.П. Скриник ЗАТВЕРДЖЕНО Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України 24 грудня 2001 р. N 76 Зареєстровано в Міністерстві юстиції України 11 січня 2002 р. за N 27/6315 ПОРЯДОК захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах Терміни та визначення 1. Ужиті в цьому документі терміни та визначення мають таке значення: державні інформаційні ресурси - інформація, яка є власністю держави та (або) необхідність захисту якої визначено законодавством; інформаційно-телекомунікаційна система - організаційно-технічна сукупність, що складається з автоматизованої системи та мережі передачі даних; дані - інформація, яка передається мережею передачі даних незалежно від способу її фізичного та логічного представлення; мережа передачі даних - організаційно-технічна система, яка складається з комплексів телекомунікаційного обладнання (вузлів комутації) та реалізує технологію інформаційного обміну з використанням первинної мережі зв'язку; оператор мережі передачі даних (вузла комутації) - юридична особа, що здійснює діяльність з надання послуг з передачі даних; користувач мережі передачі даних - фізична або юридична особа (власник автоматизованої системи), яка користується послугами мережі передачі даних за договором з оператором. Загальні положення 2. Цей документ (далі - Порядок) визначає основи організації та порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (далі - ІТС). 3. Правову основу Порядку становлять Закони України "Про інформацію" ( 2657-12 ), "Про захист інформації в автоматизованих системах" ( 80/94-ВР ) та "Про зв'язок" ( 160/95-ВР ), інші нормативно-правові акти у сфері захисту інформації. 4. Дія Порядку поширюється на ІТС, які обробляють, зберігають, передають державні інформаційні ресурси. 5. Вимоги Порядку обов'язкові для всіх власників автоматизованих систем, що входять до складу ІТС (користувачів мереж передачі даних), а також для підприємств (установ, організацій) усіх форм власності, які є операторами мереж передачі даних (далі - МПД) усіх типів: відомчих, подвійного призначення, загального користування, глобальних (у тому числі Інтернет). 6. Дія Порядку не поширюються на державні системи спеціального зв'язку. Забезпечення захисту державних інформаційних ресурсів в автоматизованих системах, що входять до складу ІТС 7. Захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу ІТС (далі - автоматизована система, АС), повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації (далі - КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації. 8. Порядок створення та вимоги щодо КСЗІ в автоматизованих системах під час їх створення, експлуатації та модернізації визначаються Законом України "Про захист інформації в автоматизованих системах" ( 80/94-ВР ), Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27 вересня 1999 р. N 1229 ( 1229/99 ), Положенням про порядок здійснення криптографічного захисту інформації в Україні, затвердженим Указом Президента України від 22 травня 1998 р. N 505/98 ( 505/98 ), нормативно-правовими актами та нормативними документами систем технічного та криптографічного захисту інформації. 9. В АС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж. 10. Конфіденційність інформації, яка є державними інформаційними ресурсами, під час передавання мережею передачі даних забезпечує власник АС з використанням засобів та заходів з криптографічного захисту інформації або оператор МПД за договором з власником АС. 11. Оброблення державних інформаційних ресурсів в автоматизованій системі, у тому числі їх передавання з використанням МПД, дозволяється тільки після отримання атестата відповідності КСЗІ вимогам із захисту інформації, який надається в установленому порядку Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - ДСТСЗІ СБ України) згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. N 62 ( z0040-00 ) і зареєстрованим в Міністерстві юстиції України 24 січня 2000 р. за N 40/4261. Дозвіл на оброблення державних інформаційних ресурсів дається наказом керівника установи (підприємства, організації), яка є власником АС. Забезпечення захисту державних інформаційних ресурсів в МПД 12. Основними завданнями підприємств (установ, організацій), які є операторами МПД, щодо забезпечення захисту державних інформаційних ресурсів є: створення, упровадження та супроводження КСЗІ в МПД; контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання. 13. Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації. 14. Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД. 15. Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підриємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані. 16. Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку. Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 р. N 329/32 ( z0640-01 ) і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за N 640/5831, а експертний висновок - згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. N 62 ( z0040-00 ) і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за N 40/4261. У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам із захисту інформації здійснюється під час проведення державної експертизи КСЗІ. 17. Розроблення, виробництво, впровадження та обслуговування КСЗІ здійснюється оператором МПД самостійно за умови наявності в нього ліцензії на провадження відповідних видів робіт або із залученням інших підприємств-ліцензіатів у галузі захисту інформації. Для організації робіт із розроблення, виробництва, впровадження та обслуговування КСЗІ, контролю за станом захищеності державних інформаційних ресурсів у МПД наказом керівника підприємства, яке є оператором МПД, визначається відповідальний підрозділ або відповідальна особа. 18. Фінансування всіх робіт із захисту державних інформаційних ресурсів у МПД здійснюється підприємством, яке є оператором МПД. 19. Передавання державних інформаційних ресурсів дозволяється тільки через вузли комутації, що мають атестат відповідності КСЗІ вимогам із захисту інформації, який надається в такому порядку, як і на КСЗІ в АС. 20. Особи, винні в порушенні порядку захисту державних інформаційних ресурсів у МПД, несуть відповідальність згідно з чинним законодавством України. Контроль за забезпеченням захисту державних інформаційних ресурсів в ІТС 21. Контроль за забезпеченням захисту державних інформаційних ресурсів в ІТС здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України і полягає у перевірці виконання власниками АС та операторами МПД вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації. 22. У разі виявлення в ІТС порушень вимог із захисту державних інформаційних ресурсів ДСТСЗІ СБ України порушує у встановленому порядку питання про припинення функціонування АС або використання МПД. 23. Власники АС та оператори МПД повинні створювати необхідні умови для здійснення державного контролю за забезпеченням захисту державних інформаційних ресурсів. 24. Власники АС та оператори МПД повинні повідомляти ДСТСЗІ СБ України про виявлені ними спроби та факти здійснення несанкціонованих дій щодо державних інформаційних ресурсів. Оператори МПД повинні надавати власнику АС відомості про виявлені ними спроби та факти здійснення несанкціонованих дій в мережах передачі даних щодо інформації, яка йому належить. 25. Порядок організації та здійснення контролю за забезпеченням захисту державних інформаційних ресурсів в ІТС визначається відповідними нормативно-правовими актами. Перший заступник начальника Департаменту В. Барлабанов