КАБIНЕТ МIНIСТРIВ УКРАЇНИ

ПОСТАНОВА
Київ

вiд 29 березня 2006 р. N 373


Про затвердження Правил забезпечення захисту iнформацiї в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах

     Вiдповiдно до статтi 10 Закону України "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах" Кабiнет Мiнiстрiв України постановляє:

     Затвердити Правила забезпечення захисту iнформацiї в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах, що додаються.

Прем'єр-мiнiстр України Ю. ЄХАНУРОВ

Iнд. 49

 

ЗАТВЕРДЖЕНО
постановою Кабiнету Мiнiстрiв України
вiд 29 березня 2006 р. N 373

ПРАВИЛА
забезпечення захисту iнформацiї в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах

Загальна частина

     1. Цi Правила визначають загальнi вимоги та органiзацiйнi засади забезпечення захисту iнформацiї, яка є власнiстю держави, або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах (далi - система).

     2. Дiя цих Правил не поширюється на захист iнформацiї в системах урядового та спецiальних видiв зв'язку.

     3. У Правилах наведенi нижче термiни вживаються у такому значеннi:

     автентифiкацiя - процедура встановлення належностi користувачевi iнформацiї в системi (далi - користувач) пред'явленого ним iдентифiкатора;

     iдентифiкацiя - процедура розпiзнавання користувача в системi як правило за допомогою наперед визначеного iменi (iдентифiкатора) або iншої апрiорної iнформацiї про нього, яка сприймається системою.

     Iншi термiни вживаються у значеннi, наведеному в Законах України "Про iнформацiю", "Про державну таємницю", "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах", "Про телекомунiкацiї", Положеннi про технiчний захист iнформацiї в Українi, затвердженому Указом Президента України вiд 27 вересня 1999 р. N 1229.

     4. Захисту в системi пiдлягає:

     вiдкрита iнформацiя, яка є власнiстю держави i у визначеннi Закону України "Про iнформацiю" належить до статистичної, правової, соцiологiчної iнформацiї, iнформацiї довiдково-енциклопедичного характеру та використовується для забезпечення дiяльностi державних органiв або органiв мiсцевого самоврядування, а також iнформацiя про дiяльнiсть зазначених органiв, яка оприлюднюється в Iнтернет, iнших глобальних iнформацiйних мережах i системах або передається телекомунiкацiйними мережами (далi - вiдкрита iнформацiя);

     конфiденцiйна iнформацiя, яка є власнiстю держави або вимога щодо захисту якої встановлена законом, у тому числi конфiденцiйна iнформацiя про фiзичну особу (далi - конфiденцiйна iнформацiя);

     iнформацiя, що становить державну або iншу передбачену законом таємницю (далi - таємна iнформацiя).

Вимоги до забезпечення захисту iнформацiї в системi

     5. Вiдкрита iнформацiя пiд час обробки в системi повинна зберiгати цiлiснiсть, що забезпечується шляхом захисту вiд несанкцiонованих дiй, якi можуть призвести до її випадкової або умисної модифiкацiї чи знищення.

     Усiм користувачам повинен бути забезпечений доступ до ознайомлення з вiдкритою iнформацiєю. Модифiкувати або знищувати вiдкриту iнформацiю можуть лише iдентифiкованi та автентифiкованi користувачi, яким надано вiдповiднi повноваження.

     Спроби модифiкацiї чи знищення вiдкритої iнформацiї користувачами, якi не мають на це повноважень, неiдентифiкованими користувачами або користувачами з не пiдтвердженою пiд час автентифiкацiї вiдповiднiстю пред'явленого iдентифiкатора повиннi блокуватися.

     6. Пiд час обробки конфiденцiйної i таємної iнформацiї повинен забезпечуватися її захист вiд несанкцiонованого та неконтрольованого ознайомлення, модифiкацiї, знищення, копiювання, поширення.

     7. Доступ до конфiденцiйної iнформацiї надається тiльки iдентифiкованим та автентифiкованим користувачам. Спроби доступу до такої iнформацiї неiдентифiкованих осiб чи користувачiв з не пiдтвердженою пiд час автентифiкацiї вiдповiднiстю пред'явленого iдентифiкатора повиннi блокуватися.

     У системi забезпечується можливiсть надання користувачевi права на виконання однiєї або кiлькох операцiй з обробки конфiденцiйної iнформацiї або позбавлення його такого права.

     8. Вимоги до захисту в системi iнформацiї, що становить державну таємницю, визначаються цими Правилами та законодавством у сферi охорони державної таємницi.

     9. Забезпечення захисту в системi таємної iнформацiї, що не становить державну таємницю, здiйснюється згiдно з вимогами до захисту конфiденцiйної iнформацiї.

     10. Вимоги до захисту в системi iнформацiї вiд несанкцiонованого блокування визначаються її власником (розпорядником), якщо iнше для цiєї iнформацiї або системи, в якiй вона обробляється, не встановлено законодавством.

     11. У системi здiйснюється обов'язкова реєстрацiя:

     результатiв iдентифiкацiї та автентифiкацiї користувачiв;

     результатiв виконання користувачем операцiй з обробки iнформацiї;

     спроб несанкцiонованих дiй з iнформацiєю;

     фактiв надання та позбавлення користувачiв права доступу до iнформацiї та її обробки;

     результатiв перевiрки цiлiсностi засобiв захисту iнформацiї.

     Забезпечується можливiсть проведення аналiзу реєстрацiйних даних виключно користувачем, якого уповноважено здiйснювати управлiння засобами захисту iнформацiї i контроль за захистом iнформацiї в системi (адмiнiстратор безпеки).

     Реєстрацiя здiйснюється автоматичним способом, а реєстрацiйнi данi захищаються вiд модифiкацiї та знищення користувачами, якi не мають повноважень адмiнiстратора безпеки.

     Реєстрацiя спроб несанкцiонованих дiй з iнформацiєю, що становить державну таємницю, а також конфiденцiйної iнформацiї про фiзичну особу, яка законом вiднесена до персональних даних, повинна супроводжуватися повiдомленням про них адмiнiстратора безпеки.

     12. Iдентифiкацiя та автентифiкацiя користувачiв, надання та позбавлення їх права доступу до iнформацiї та її обробки, контроль за цiлiснiстю засобiв захисту в системi здiйснюється автоматизованим способом.

     13. Передача конфiденцiйної i таємної iнформацiї з однiєї системи до iншої здiйснюється у зашифрованому виглядi або захищеними каналами зв'язку згiдно з вимогами законодавства з питань технiчного та криптографiчного захисту iнформацiї.

     14. Порядок пiдключення систем, в яких обробляється конфiденцiйна i таємна iнформацiя, до глобальних мереж передачi даних визначається законодавством.

     15. У системi здiйснюється контроль за цiлiснiстю програмного забезпечення, яке використовується для обробки iнформацiї, запобiгання несанкцiонованiй його модифiкацiї та лiквiдацiя наслiдкiв такої модифiкацiї.

     Контролюється також цiлiснiсть програмних та технiчних засобiв захисту iнформацiї. У разi порушення їх цiлiсностi обробка в системi iнформацiї припиняється.

Органiзацiйнi засади забезпечення захисту iнформацiї

     16. Для забезпечення захисту iнформацiї в системi створюється комплексна система захисту iнформацiї (далi - система захисту), яка призначається для захисту iнформацiї вiд:

     витоку технiчними каналами, до яких належать канали побiчних електромагнiтних випромiнювань i наведень, акустично-електричнi та iншi канали, що утворюються пiд впливом фiзичних процесiв пiд час функцiонування засобiв обробки iнформацiї, iнших технiчних засобiв i комунiкацiй;

     несанкцiонованих дiй з iнформацiєю, у тому числi з використанням комп'ютерних вiрусiв;

     спецiального впливу на засоби обробки iнформацiї, який здiйснюється шляхом формування фiзичних полiв i сигналiв та може призвести до порушення її цiлiсностi та несанкцiонованого блокування.

     Захист iнформацiї вiд витоку технiчними каналами забезпечується в системi у разi, коли в нiй обробляється iнформацiя, що становить державну таємницю, або коли вiдповiдне рiшення щодо необхiдностi такого захисту прийнято власником (розпорядником) iнформацiї.

     Захист iнформацiї вiд несанкцiонованих дiй, у тому числi вiд комп'ютерних вiрусiв, забезпечується в усiх системах.

     Захист iнформацiї вiд спецiального впливу на засоби обробки iнформацiї забезпечується в системi, якщо рiшення про необхiднiсть такого захисту прийнято власником (розпорядником) iнформацiї.

     17. Вiдповiдальнiсть за забезпечення захисту iнформацiї в системi, своєчасне розроблення необхiдних для цього заходiв та створення системи захисту покладається на керiвника (заступника керiвника) органiзацiї, яка є власником (розпорядником) системи, та керiвникiв її структурних пiдроздiлiв, що забезпечують створення та експлуатацiю системи.

     18. Органiзацiя та проведення робiт iз захисту iнформацiї в системi здiйснюється службою захисту iнформацiї, яка забезпечує визначення вимог до захисту iнформацiї в системi, проектування, розроблення i модернiзацiю системи захисту, а також виконання робiт з її експлуатацiї та контролю за станом захищеностi iнформацiї.

     Служба захисту iнформацiї утворюється згiдно з рiшенням керiвника органiзацiї, що є власником (розпорядником) системи.

     У разi коли обсяг робiт, пов'язаних iз захистом iнформацiї в системi, є незначний, захист iнформацiї може здiйснюватися однiєю особою.

     19. Захист iнформацiї на всiх етапах створення та експлуатацiї системи здiйснюється вiдповiдно до розробленого службою захисту iнформацiї плану захисту iнформацiї в системi.

     План захисту iнформацiї в системi мiстить:

     завдання захисту, класифiкацiю iнформацiї, яка обробляється в системi, опис технологiї обробки iнформацiї;

     визначення моделi загроз для iнформацiї в системi;

     основнi вимоги щодо захисту iнформацiї та правила доступу до неї в системi;

     перелiк документiв, згiдно з якими здiйснюється захист iнформацiї в системi;

     перелiк i строки виконання робiт службою захисту iнформацiї.

     20. Вимоги та порядок створення системи захисту встановлюються Департаментом спецiальних телекомунiкацiйних систем та захисту iнформацiї СБУ (далi - департамент).

     Вимоги до захисту iнформацiї кожної окремої системи встановлюються технiчним завданням на створення системи або системи захисту.

     21. У складi системи захисту повиннi використовуватися засоби захисту iнформацiї з пiдтвердженою вiдповiднiстю.

     У разi використання засобiв захисту iнформацiї, якi не мають пiдтвердження вiдповiдностi на момент проектування системи захисту, вiдповiдне оцiнювання проводиться пiд час державної експертизи системи захисту.

     22. Порядок проведення державної експертизи системи захисту, державної експертизи та сертифiкацiї засобiв технiчного i криптографiчного захисту iнформацiї встановлюється департаментом.

     Органи виконавчої влади, якi мають дозвiл на провадження дiяльностi з технiчного захисту iнформацiї для власних потреб, вправi за згодою департаменту органiзовувати проведення державної експертизи системи захисту на пiдприємствах, в установах та органiзацiях, якi належать до сфери їх управлiння. Порядок проведення такої експертизи встановлюється органом виконавчої влади за погодженням з департаментом.

     23. Виконавцем робiт iз створення системи захисту може бути суб'єкт господарської дiяльностi або орган виконавчої влади, який має лiцензiю або дозвiл на право провадження хоча б одного виду робiт у сферi технiчного захисту iнформацiї, необхiднiсть проведення якого визначено технiчним завданням на створення системи захисту.

     Для проведення iнших видiв робiт з технiчного захисту iнформацiї, на провадження яких виконавець не має лiцензiї (дозволу), залучаються спiввиконавцi, що мають вiдповiднi лiцензiї.

     Якщо для створення системи захисту необхiдно провести роботи з криптографiчного захисту iнформацiї, виконавець повинен мати лiцензiї на провадження виду робiт у сферi криптографiчного захисту iнформацiї або залучати спiввиконавцiв, що мають вiдповiднi лiцензiї.

     24. Контроль за забезпеченням захисту iнформацiї в системi полягає у перевiрцi виконання вимог з технiчного та криптографiчного захисту iнформацiї та здiйснюється у порядку, визначеному департаментом.

     25. У системi, яка складається з кiлькох iнформацiйних та (або) телекомунiкацiйних систем, цi Правила можуть застосовуватися до кожної складової частини окремо.

Copyright © 2021 НТФ «Інтес»
Всі права захищені.