КАБIНЕТ МIНIСТРIВ УКРАЇНИ
ПОСТАНОВА
Київ
вiд 29 березня 2006 р. | N 373 |
---|
Про затвердження Правил забезпечення захисту
iнформацiї в iнформацiйних, електронних
комунiкацiйних та iнформацiйно-комунiкацiйних
системах
(назва iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 03.06.2022р. N 645) |
Iз змiнами i доповненнями, внесеними
постановами Кабiнету Мiнiстрiв України
вiд 8 грудня 2006 року N 1700,
вiд 7 вересня 2011 року N 938,
вiд 8 лютого 2021 року N 92,
вiд 3 червня 2022 року N 645,
вiд 14 жовтня 2022 року N 1171
Вiдповiдно до статтi 10 Закону України Про захист iнформацiї в iнформацiйно-комунiкацiйних системах" Кабiнет Мiнiстрiв України постановляє:
(вступна частина iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 03.06.2022р. N 645) |
Затвердити Правила забезпечення захисту iнформацiї в iнформацiйних, електронних комунiкацiйних та iнформацiйно-комунiкацiйних системах, що додаються.
(постановляюча частина iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 03.06.2022р. N 645) | |
Прем'єр-мiнiстр України |
Ю. ЄХАНУРОВ |
Iнд. 49
ЗАТВЕРДЖЕНО постановою Кабiнету Мiнiстрiв України вiд 29 березня 2006 р. N 373 |
ПРАВИЛА
забезпечення захисту iнформацiї в iнформацiйних,
електронних комунiкацiйних та
iнформацiйно-комунiкацiйних системах
(назва Правил iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 03.06.2022р. N 645) |
Загальна частина
1. Цi Правила визначають загальнi вимоги та органiзацiйнi засади забезпечення захисту державних iнформацiйних ресурсiв або iнформацiї, вимога щодо захисту якої встановлена законом, в iнформацiйних, електронних комунiкацiйних та iнформацiйно-комунiкацiйних системах (далi - система).
(пункт 1 iз змiнами, внесеними згiдно з постановами Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938, вiд 03.06.2022р. N 645) |
2. Дiя цих Правил не поширюється на захист iнформацiї в системах урядового та спецiальних видiв зв'язку, в технiчних засобах i їх складових, необхiдних для здiйснення уповноваженими органами оперативно-розшукових, розвiдувальних заходiв та негласних слiдчих (розшукових) дiй.
(пункт 2 у редакцiї постанови Кабiнету Мiнiстрiв України вiд 08.02.2021р. N 92) |
3. У Правилах наведенi нижче термiни вживаються у такому значеннi:
автентифiкацiя - процедура встановлення належностi користувачевi iнформацiї в системi (далi - користувач) пред'явленого ним iдентифiкатора;
iдентифiкацiя - процедура розпiзнавання користувача в системi як правило за допомогою наперед визначеного iменi (iдентифiкатора) або iншої апрiорної iнформацiї про нього, яка сприймається системою.
Iншi термiни вживаються у значеннi, наведеному в Законах України "Про iнформацiю", "Про доступ до публiчної iнформацiї", "Про державну таємницю", "Про захист iнформацiї в iнформацiйно-комунiкацiйних системах", "Про електроннi комунiкацiї", Положеннi про технiчний захист iнформацiї в Українi, затвердженому Указом Президента України вiд 27 вересня 1999р. N 1229.
(абзац четвертий пункту 3 iз змiнами, внесеними згiдно з постановами Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938, вiд 03.06.2022р. N 645) |
4. Захисту в системi пiдлягає:
вiдкрита iнформацiя, яка належить до державних iнформацiйних ресурсiв, а також вiдкрита iнформацiя про дiяльнiсть суб'єктiв владних повноважень, вiйськових формувань, яка оприлюднюється в Iнтернетi, iнших глобальних iнформацiйних мережах i системах або передається електронними комунiкацiйними мережами (далi - вiдкрита iнформацiя);
(абзац другий пункту 4 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 03.06.2022р. N 645) |
конфiденцiйна iнформацiя, яка перебуває у володiннi розпорядникiв iнформацiї, визначених частиною першою статтi 13 Закону України "Про доступ до публiчної iнформацiї" (далi - конфiденцiйна iнформацiя);
службова iнформацiя;
iнформацiя, яка становить державну або iншу передбачену законом таємницю (далi - таємна iнформацiя);
iнформацiя, вимога щодо захисту якої встановлена законом.
(пункт 4 у редакцiї постанови Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938) |
Вимоги до забезпечення захисту iнформацiї в системi
5. Вiдкрита iнформацiя пiд час обробки в системi повинна зберiгати цiлiснiсть, що забезпечується шляхом захисту вiд несанкцiонованих дiй, якi можуть призвести до її випадкової або умисної модифiкацiї чи знищення.
Усiм користувачам повинен бути забезпечений доступ до ознайомлення з вiдкритою iнформацiєю. Модифiкувати або знищувати вiдкриту iнформацiю можуть лише iдентифiкованi та автентифiкованi користувачi, яким надано вiдповiднi повноваження.
Спроби модифiкацiї чи знищення вiдкритої iнформацiї користувачами, якi не мають на це повноважень, неiдентифiкованими користувачами або користувачами з не пiдтвердженою пiд час автентифiкацiї вiдповiднiстю пред'явленого iдентифiкатора повиннi блокуватися.
Створення та/або обробка в системi електронних документiв, аналоги яких на паперових носiях повиннi мiстити власноручний пiдпис вiдповiдно до законодавства, мають здiйснюватися iз застосуванням квалiфiкованого електронного пiдпису чи печатки.
(пункт 5 доповнено абзацом згiдно з постановою Кабiнету Мiнiстрiв України вiд 03.06.2022р. N 645) |
Перевiрка та пiдтвердження квалiфiкованого електронного пiдпису чи печатки здiйснюються вiдповiдно до вимог статтi 18 Закону України "Про електроннi довiрчi послуги".
(пункт 5 доповнено абзацом згiдно з постановою Кабiнету Мiнiстрiв України вiд 03.06.2022р. N 645) |
6. Пiд час обробки службової i таємної iнформацiї повинен забезпечуватися її захист вiд несанкцiонованого та неконтрольованого ознайомлення, модифiкацiї, знищення, копiювання, поширення.
(пункт 6 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938) |
7. Доступ до службової iнформацiї надається тiльки iдентифiкованим та автентифiкованим користувачам. Спроби доступу до такої iнформацiї неiдентифiкованих осiб чи користувачiв з не пiдтвердженою пiд час автентифiкацiї вiдповiднiстю пред'явленого iдентифiкатора повиннi блокуватися.
(абзац перший пункту 7 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938) |
У системi забезпечується можливiсть надання користувачевi права на виконання однiєї або кiлькох операцiй з обробки службової iнформацiї або позбавлення його такого права.
(абзац другий пункту 7 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938) |
8. Вимоги до захисту в системi iнформацiї, що становить державну таємницю, визначаються цими Правилами та законодавством у сферi охорони державної таємницi.
9. Забезпечення технiчного та криптографiчного захисту iнформацiї з обмеженим доступом, а також вiдкритої iнформацiї, вимога щодо захисту якої встановлена законом, здiйснюється в системi з дотриманням вимог, що висуваються для забезпечення захисту такої iнформацiї, якщо iнше не передбачене законом.
Криптографiчний захист в системi таємної iнформацiї, яка не становить державної таємницi, та конфiденцiйної iнформацiї в органах державної влади, органах мiсцевого самоврядування, на пiдприємствах, в установах та органiзацiях, якi належать до сфери їх управлiння, вiйськових формуваннях, якi створенi вiдповiдно до закону, здiйснюється з використанням засобiв криптографiчного захисту iнформацiї, якi вiдповiдають вимогам до засобiв криптографiчного захисту iнформацiї, призначених для захисту таємної iнформацiї, яка не становить державної таємницi, та конфiденцiйної iнформацiї, що пiдтверджуються експертним висновком у сферi криптографiчного захисту iнформацiї або документом про вiдповiднiсть.
(пункт 9 у редакцiї постанов Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938, вiд 08.02.2021р. N 92) |
10. Вимоги до захисту в системi iнформацiї вiд несанкцiонованого блокування визначаються розпорядником iнформацiї, якщо iнше для цiєї iнформацiї або системи, в якiй вона обробляється, не встановлено законодавством.
(пункт 10 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938) |
11. У системi здiйснюється обов'язкова реєстрацiя:
результатiв iдентифiкацiї та автентифiкацiї користувачiв;
результатiв виконання користувачем операцiй з обробки iнформацiї;
спроб несанкцiонованих дiй з iнформацiєю;
фактiв надання та позбавлення користувачiв права доступу до iнформацiї та її обробки;
результатiв перевiрки цiлiсностi засобiв захисту iнформацiї.
Забезпечується можливiсть проведення аналiзу реєстрацiйних даних виключно користувачем, якого уповноважено здiйснювати управлiння засобами захисту iнформацiї i контроль за захистом iнформацiї в системi (адмiнiстратор безпеки).
Реєстрацiя здiйснюється автоматичним способом, а реєстрацiйнi данi захищаються вiд модифiкацiї та знищення користувачами, якi не мають повноважень адмiнiстратора безпеки.
Реєстрацiя спроб несанкцiонованих дiй з iнформацiєю, що становить державну таємницю, i службовою iнформацiєю повинна супроводжуватися повiдомленням про них адмiнiстратору безпеки (вiдповiдальнiй особi).
(абзац дев'ятий пункту 9 у редакцiї постанови Кабiнету Мiнiстрiв України вiд 08.02.2021р. N 92) |
12. Iдентифiкацiя та автентифiкацiя користувачiв, надання та позбавлення їх права доступу до iнформацiї та її обробки, контроль за цiлiснiстю засобiв захисту в системi здiйснюється автоматизованим способом.
Автентифiкацiя користувачiв у системi здiйснюється вiдповiдно до вимог статтi 17 Закону України "Про електроннi довiрчi послуги" та iнших нормативно-правових актiв.
(пункт 12 доповнено абзацом згiдно з постановою Кабiнету Мiнiстрiв України вiд 03.06.2022р. N 645, абзац другий пункту 12 у редакцiї постанови Кабiнету Мiнiстрiв України вiд 14.10.2022р. N 1171) |
13. Передача конфiденцiйної iнформацiї, службової та таємної iнформацiї через незахищене середовище (середовище, в якому циркулює iнформацiя, стосовно якої вiдсутнє пiдтвердження вiдповiдностi захисту вiд усiх можливих загроз, iмовiрнiсть прояву яких iснує у цьому середовищi) здiйснюється у зашифрованому виглядi або захищеними каналами зв'язку згiдно з вимогами законодавства у сферi технiчного та криптографiчного захисту iнформацiї, за винятком iнформацiї, що передається через канали (лiнiї) зв'язку, якi перебувають в межах контрольованої зони (територiя (простiр), на якiй (в якому) унеможливлено несанкцiоноване i неконтрольоване перебування стороннiх осiб, розмiщення технiчних i транспортних засобiв).
(пункт 13 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938, у редакцiї постанови Кабiнету Мiнiстрiв України вiд 08.02.2021р. N 92) |
14. Пiдключення систем, у яких обробляється службова iнформацiя та iнформацiя, що становить державну таємницю, до глобальних мереж передачi даних здiйснюється з використанням засобiв криптографiчного захисту iнформацiї, якi допущенi до експлуатацiї для криптографiчного захисту iнформацiї вiдповiдного ступеня обмеження доступу, та/або апаратних, апаратно-програмних засобiв технiчного захисту iнформацiї, якi мають позитивний експертний висновок за результатами державної експертизи у сферi технiчного захисту iнформацiї та реалiзують функцiї безпеки односпрямованої (односторонньої) передачi даних та/або двоспрямованої передачi даних з урахуванням їх змiстовного аналiзу.
В апаратно-програмних засобах технiчного захисту iнформацiї, якi реалiзують функцiї односпрямованої (односторонньої) передачi даних та або мiжмережевого екранування (фiльтрацiї) даних, що забезпечують захист службової iнформацiї та iнформацiї, що становить державну таємницю, рiвень гарантiї коректностi надання функцiональних послуг безпеки повинен бути не нижче третього.
Достатнiсть впроваджених засобiв захисту iнформацiї обґрунтовується на етапi технiчного проектування системи захисту iнформацiї та оцiнюється пiд час проведення державної експертизи комплексної системи захисту iнформацiї.
(пункт 14 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938, у редакцiї постанови Кабiнету Мiнiстрiв України вiд 08.02.2021р. N 92) |
15. У системi здiйснюється контроль за цiлiснiстю програмного забезпечення, яке використовується для обробки iнформацiї, запобiгання несанкцiонованiй його модифiкацiї та лiквiдацiя наслiдкiв такої модифiкацiї.
Контролюється також цiлiснiсть програмних та технiчних засобiв захисту iнформацiї. У разi порушення їх цiлiсностi обробка в системi iнформацiї припиняється.
Органiзацiйнi засади забезпечення захисту iнформацiї
16. Для забезпечення захисту iнформацiї в системi створюється комплексна система захисту iнформацiї (далi - система захисту), яка призначається для захисту iнформацiї вiд:
витоку технiчними каналами, до яких належать канали побiчних електромагнiтних випромiнювань i наведень, акустично-електричнi та iншi канали, що утворюються пiд впливом фiзичних процесiв пiд час функцiонування засобiв обробки iнформацiї, iнших технiчних засобiв i комунiкацiй;
несанкцiонованих дiй з iнформацiєю, у тому числi з використанням комп'ютерних вiрусiв;
спецiального впливу на засоби обробки iнформацiї, який здiйснюється шляхом формування фiзичних полiв i сигналiв та може призвести до порушення її цiлiсностi та несанкцiонованого блокування.
Захист iнформацiї вiд витоку технiчними каналами забезпечується в системi у разi, коли в нiй обробляється iнформацiя, що становить державну таємницю, або коли вiдповiдне рiшення щодо необхiдностi такого захисту прийнято розпорядником iнформацiї.
(абзац п'ятий пункту 16 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938) |
Захист iнформацiї вiд несанкцiонованих дiй, у тому числi вiд комп'ютерних вiрусiв, забезпечується в усiх системах.
Захист iнформацiї вiд спецiального впливу на засоби обробки iнформацiї забезпечується в системi, якщо рiшення про необхiднiсть такого захисту прийнято розпорядником iнформацiї.
(абзац сьомий пункту 16 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 07.09.2011р. N 938) |
Державнi iнформацiйнi ресурси та iнформацiя з обмеженим доступом, крiм державної таємницi, службової iнформацiї та державних i єдиних реєстрiв, створення та забезпечення функцiонування яких визначено законами, можуть оброблятися в системi без застосування комплексної системи захисту iнформацiї. Умови, за яких можна не застосовувати комплексну систему захисту iнформацiї, визначенi Законом України "Про захист iнформацiї в iнформацiйно-комунiкацiйних системах".
(пункт 16 доповнено абзацом згiдно з постановою Кабiнету Мiнiстрiв України вiд 08.02.2021р. N 92, абзац восьмий пункту 16 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 03.06.2022р. N 645) |
У таких системах повиннi бути виконанi технiчнi та органiзацiйнi вимоги iз захисту iнформацiї, визначенi цими Правилами.
(пункт 16 доповнено абзацом згiдно з постановою Кабiнету Мiнiстрiв України вiд 08.02.2021р. N 92) |
17. Вiдповiдальнiсть за забезпечення захисту iнформацiї в системi, своєчасне розроблення необхiдних для цього заходiв та створення системи захисту покладається на керiвника (заступника керiвника) органiзацiї, яка є власником (розпорядником) системи, та керiвникiв її структурних пiдроздiлiв, що забезпечують створення та експлуатацiю системи.
18. Органiзацiя та проведення робiт iз захисту iнформацiї в системi здiйснюється службою захисту iнформацiї, яка забезпечує визначення вимог до захисту iнформацiї в системi, проектування, розроблення i модернiзацiю системи захисту, а також виконання робiт з її експлуатацiї та контролю за станом захищеностi iнформацiї.
Служба захисту iнформацiї утворюється згiдно з рiшенням керiвника органiзацiї, що є власником (розпорядником) системи.
У разi коли обсяг робiт, пов'язаних iз захистом iнформацiї в системi, є незначний, захист iнформацiї може здiйснюватися однiєю особою.
19. Захист iнформацiї на всiх етапах створення та експлуатацiї системи здiйснюється вiдповiдно до розробленого службою захисту iнформацiї плану захисту iнформацiї в системi.
План захисту iнформацiї в системi мiстить:
завдання захисту, класифiкацiю iнформацiї, яка обробляється в системi, опис технологiї обробки iнформацiї;
визначення моделi загроз для iнформацiї в системi;
основнi вимоги щодо захисту iнформацiї та правила доступу до неї в системi;
перелiк документiв, згiдно з якими здiйснюється захист iнформацiї в системi;
перелiк i строки виконання робiт службою захисту iнформацiї.
20. Вимоги та порядок створення системи захисту встановлюються Адмiнiстрацiєю Держспецзв'язку (далi - Адмiнiстрацiя).
(абзац перший пункту 20 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 08.12.2006р. N 1700) |
Вимоги до захисту iнформацiї кожної окремої системи встановлюються технiчним завданням на створення системи або системи захисту.
21. У складi системи захисту повиннi використовуватися засоби захисту iнформацiї з пiдтвердженою вiдповiднiстю.
У разi використання засобiв захисту iнформацiї, якi не мають пiдтвердження вiдповiдностi на момент проектування системи захисту, вiдповiдне оцiнювання проводиться пiд час державної експертизи системи захисту.
22. Порядок проведення державної експертизи системи захисту, державної експертизи засобiв технiчного i криптографiчного захисту iнформацiї встановлюється Адмiнiстрацiєю.
(змiни, передбаченi з 01.01.2022р. пунктом 1 змiн, затверджених постановою Кабiнету Мiнiстрiв України вiд 21.10.2020р. N 991, внесенi не будуть у зв'язку з викладенням 10.02.2021р. у новiй редакцiї пункту 22) |
Органи виконавчої влади, вiйськовi формування, створенi вiдповiдно до закону, якi мають дозвiл на проведення робiт з технiчного захисту iнформацiї для власних потреб, мають право органiзовувати проведення державної експертизи систем захисту на пiдприємствах, в установах, органiзацiях, закладах, вiйськових з'єднаннях та частинах, якi належать до їх сфери управлiння або пiдпорядкованi їм. Порядок проведення такої експертизи встановлюється органом виконавчої влади, вiйськовим формуванням, створеним вiдповiдно до закону, за погодженням з Адмiнiстрацiєю.
(пункт 22 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 08.12.2006р. N 1700, у редакцiї постанови Кабiнету Мiнiстрiв України вiд 08.02.2021р. N 92) |
23. Пункт 23 виключено
(згiдно з постановою Кабiнету Мiнiстрiв України вiд 08.02.2021р. N 92) |
24. Контроль за забезпеченням захисту iнформацiї в системi полягає у перевiрцi виконання вимог з технiчного та криптографiчного захисту iнформацiї та здiйснюється у порядку, визначеному Адмiнiстрацiєю.
(пункт 24 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 08.12.2006р. N 1700) |
25. У системi, яка складається з кiлькох iнформацiйних та (або) електронних комунiкацiйних систем, цi Правила можуть застосовуватися до кожної складової частини окремо.
(пункт 25 iз змiнами, внесеними згiдно з постановою Кабiнету Мiнiстрiв України вiд 03.06.2022р. N 645) |