З метою дотримання норм захисту конфіденційної і відкритої інформації, що циркулює в автоматизованій системі Міністерства,

1. Затвердити нормативний документ Комплексної системи захисту інформації в автоматизованій системі Міністерства - Інструкцію користувача автоматизованої системи 3 класу, що додається.

2. Керівникам департаментів згідно з положеннями зазначеної Інструкції подати управлінню інформаційних технологій інформацію про користувачів та відповідні автоматизовані робочі місця, які доцільно задіяти в роботі з автоматизованою системою 3 класу.

3. Управлінню інформаційних технологій протягом двох місяців провести навчання користувачів автоматизованої системи 3 класу та ознайомити із зазначеною Інструкцією.

4. Контроль за виконанням цього наказу покласти на керівника адміністративного департаменту Дробного В.В.

Ця Інструкція регламентує роботу співробітників Міністерства в частині захисту конфіденційної (для службового користування) та іншої інформації, що є власністю держави, під час користування автоматизованою системою 3 класу (далі - АС 3) - окремою локальною підмережею Міністерства, що приєднана до мережі Інтернет та електронної пошти.

Положення Інструкції не поширюються на роботи, які пов'язані з обробленням інформації, що становить державну таємницю, а також інформації, що має криптографічний захист.

Ця Інструкція розроблена на підставі:

Закону України "Про захист інформації в автоматизованих системах";

Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, затвердженої постановою Кабінету Міністрів України від 27 листопада 1998 р. N 1893 "Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави";

Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, у Міністерстві економіки України, затвердженої наказом Міністерства від 18.05.99 N 67-ДСК "Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави у Міністерстві економіки України";

НД ТЗІ 1.1-002-99. Загальних положень щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 N 22 "Про затвердження і введення в дію нормативних документів";

НД ТЗІ 2.5-005-99. Класифікації автоматизованих систем і стандартних функціональних профілів захищеності оброблюваної інформації від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 N 22;

НД ТЗІ 2.5-004-99. Критеріїв оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 N 22.

Згідно з НД ТЗІ 2.5-005-99. Класифікацією автоматизованих систем і стандартних профілів захищеності оброблюваної інформації від несанкціонованого доступу автоматизовані системи розподіляють на три класи:

клас "1" - одномашинний однокористувачевий комплекс;

клас "2" - локалізований багатомашинний багатокористувачевий комплекс;

клас "3" - розподілений машинний багатокористувачевий комплекс, у якому передання інформації здійснюється через незахищене середовище (глобальну мережу).

Інші використані в документі терміни і визначення відповідають НД ТЗІ 1.1-003-99. Термінології в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 N 22;

Широке застосування програмно-технічних обчислювальних засобів імпортного походження при приєднані їх до Інтернету принципово унеможливлює здійснити надійний захист інформації, що належить державі. У таких умовах забезпечення конфіденційності, цілісності і доступності інформації можливе лише в разі фізичного відокремлення автоматизованої системи, де циркулює інформація, яка потребує захисту (АС 2), від системи, яка приєднана до Інтернету - АС 3.

В Інструкції викладено організаційно-технічні заходи, що враховують і компенсують неможливість у сучасних умовах забезпечити програмно-технічними засобами надійний захист АС 3 з точки зору конфіденційності, цілісності і доступності інформації, яка в ній циркулює.