УВАГА! ДОКУМЕНТ ВТРАЧАЄ ЧИННІСТЬ.
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
Н А К А З
Зареєстровано в Міністерстві
юстиції України
25 липня 2008 р.
за N 690/15381
Про затвердження Порядку оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах
Відповідно до пункту 11 частини першої статті 16 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" (
3475-15)
та Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868 (
868-2006-п)
, НАКАЗУЮ:
1. Затвердити Порядок оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, що додається.
2. Начальнику Департаменту безпеки інформаційно-телекомунікаційних систем Адміністрації Держспецзв'язку забезпечити подання наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
3. Контроль за виконанням наказу покласти на заступника Голови Держспецзв'язку Фролова О.В.
Т.в.о Голови Служби
|
О.І.Сиров
|
ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації
України
04.07.2008 N 112
Зареєстровано в Міністерстві
юстиції України
25 липня 2008 р.
за N 690/15381
ПОРЯДОК
оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах
1. Цей Порядок, розроблений відповідно до пункту 11 частини першої статті 16 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" (
3475-15)
, визначає правові та організаційні засади проведення оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах органів державної влади, органів місцевого самоврядування, військових формувань, утворених відповідно до законів України (далі - військові формування), підприємств, установ і організацій незалежно від форм власності.
Дія цього Порядку не поширюється на системи спеціального зв'язку.
2. Терміни у цьому Порядку вживаються у такому значенні:
оцінка (оцінювання) стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - оцінка стану захищеності) - сукупність заходів, спрямованих на виявлення загроз державним інформаційним ресурсам від здійснення несанкціонованих дій в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - ІТС);
оцінка (оцінювання) захищеності інформації в інформаційній, телекомунікаційній та інформаційно-телекомунікаційній системі (далі - оцінка захищеності) - заходи щодо виявлення в інформаційній, телекомунікаційній, інформаційно-телекомунікаційній системі технічних рішень, що створюють можливість здійснення дій з порушення цілісності, конфіденційності та доступності інформації, яка в ній циркулює.
Інші терміни вживаються у значенні, наведеному у Законах України "Про захист інформації в інформаційно-телекомунікаційних системах" (
80/94-ВР)
, "Про Державну службу спеціального зв'язку та захисту інформації України" (
3475-15)
.
3. Об'єктом оцінки стану захищеності є стан захищеності державних інформаційних ресурсів, які обробляються в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, незалежно від наявності комплексної системи захисту інформації (далі - КСЗІ).
4. Оцінка стану захищеності здійснюється з метою виявлення існуючих загроз державним інформаційним ресурсам в ІТС і є складовою частиною заходів із захисту інформації.
5. В ІТС, де створено КСЗІ з підтвердженою відповідністю, оцінка стану захищеності здійснюється з метою виявлення загроз державним інформаційним ресурсам, які виникли у процесі експлуатації КСЗІ внаслідок недотримання вимог нормативних актів у сфері захисту інформації в ІТС та які не враховані у КСЗІ.
6. У разі виявлення в ІТС, де створено КСЗІ з підтвердженою відповідністю, додаткових загроз державним інформаційним ресурсам, які виникли за період експлуатації КСЗІ, інформація про таку КСЗІ надається Держспецзв'язку згідно з Положенням про Реєстр інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління, затвердженим постановою Кабінету Міністрів України від 03.08.2005 N 688 (
688-2005-п)
.
7. Оцінка стану захищеності в органі державної влади, органі місцевого самоврядування, військовому формуванні, підприємстві, установі, організації незалежно від форми власності здійснюється Держспецзв'язку.
8. За результатами оцінки стану захищеності складається акт оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - Акт) згідно з додатком, де викладаються результати роботи комісії та рекомендації стосовно підвищення рівня захищеності державних інформаційних ресурсів, який затверджується Головою Держспецзв'язку або його заступником за напрямом діяльності згідно з розподілом функціональних обов'язків.
9. З метою здійснення оцінки стану захищеності:
Держспецзв'язку:
створює комісію з оцінки стану захищеності (далі - комісія);
здійснює планування проведення оцінки стану захищеності в органах державної влади, органах місцевого самоврядування, військових формуваннях, підприємствах, установах і організаціях незалежно від форм власності;
розробляє загальну програму та методику оцінки стану захищеності в органах державної влади, органах місцевого самоврядування, військових формуваннях, підприємствах, установах і організаціях незалежно від форм власності, а також окремі програми та методики оцінки захищеності залежно від виду ІТС та режиму доступу до інформації, що в них обробляється;
визначає перелік документів, що стосуються функціонування ІТС та підлягають аналізу під час проведення оцінки стану захищеності;
визначає та оприлюднює на офіційному веб-сайті Держспецзв'язку у мережі Інтернет перелік спеціалізованого програмного забезпечення та програмно-апаратних засобів, які використовуються для проведення оцінки захищеності;
органи державної влади, органи місцевого самоврядування, військові формування, підприємства, установи і організації незалежно від форм власності, в ІТС яких здійснюється оцінка стану захищеності державних інформаційних ресурсів:
надають комісії всі необхідні документи, що стосуються функціонування ІТС;
надають комісії доступ до ІТС;
повідомляють Держспецзв'язку про врахування чи не врахування рекомендацій, зазначених у Акті.
10. Оцінка стану захищеності в органах державної влади, органах місцевого самоврядування, військових формуваннях, підприємствах, установах і організаціях незалежно від форм власності, в ІТС яких обробляються державні інформаційні ресурси, проводиться згідно з річним планом, який затверджується наказом Адміністрації Держспецзв'язку, або позапланово.
Планова оцінка стану захищеності проводиться в органах державної влади, військових формуваннях, підприємствах, установах і організаціях незалежно від форм власності не частіше ніж раз у п'ять років.
Витяги з річного плану надсилаються до вказаних у ньому органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності щороку до 1 лютого.
Позапланова оцінка стану захищеності проводиться в органах державної влади, органах місцевого самоврядування, військових формуваннях, підприємствах, установах і організаціях незалежно від форм власності за їх безпосередніми зверненнями та рішенням Голови Держспецзв'язку або його заступника за напрямом діяльності згідно з розподілом функціональних обов'язків.
11. Держспецзв'язку письмово повідомляє органи державної влади, органи місцевого самоврядування, військові формування, підприємства, установи, організації незалежно від форми власності, в ІТС яких планується здійснити оцінку стану захищеності, не менше ніж за десять діб до її початку.
12. Підставою для допуску до проведення оцінки стану захищеності є припис, підписаний Головою Держспецзв'язку або його заступником за напрямом діяльності згідно з розподілом функціональних обов'язків, в якому вказується склад комісії.
Заступник начальника
Департаменту безпеки
інформаційно-телекомунікаційних
систем Адміністрації
Держспецзв'язку
|
В.В.Лещук
|
Додаток
до Порядку оцінки стану
захищеності державних
інформаційних ресурсів
в інформаційних,
телекомунікаційних
та інформаційно-
телекомунікаційних системах
ЗАТВЕРДЖУЮ
__________________________
__________________________
АКТ
оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах
в __________________________________
Комісією у складі _______________________________________________
(прізвище, ім'я та по батькові)
_________________________________________________________________
на підставі припису від "___" __________ 20__ р. N ______________
проведено оцінку стану захищеності державних інформаційних
ресурсів в інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах в _______________________
Оцінкою встановлено:
1. Загальні питання _____________________________________________
_________________________________________________________________
2. Результати аналізу документів, наданих комісії, щодо
функціонування інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних систем ___________________________
_________________________________________________________________
_________________________________________________________________
3. Результати оцінювання захищеності інформації в інформаційних,
телекомунікаційних та інформаційно-телекомунікаційних системах
_________________________________________________________________
_________________________________________________________________
Висновки: _______________________________________________________
_________________________________________________________________
Рекомендації: ___________________________________________________
_________________________________________________________________
Голова комісії:
Члени комісії:
Ознайомлений: __________________________________________________
(прізвище, ім'я, по батькові керівника організації)