Відповідно до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" , Вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07.11.2018 № 992, Типового положення про службу захисту інформації в автоматизованій системі НД ТЗІ 1.4-001-2000, затвердженого наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 04.12.2000 № 53, з метою забезпечення завдань керування комплексною системою захисту інформації інформаційно-телекомунікаційної системи кваліфікованого надавача електронних довірчих послуг органів прокуратури України та здійснення контролю за її функціонуванням, керуючись статтями 8, 9 Закону України "Про прокуратуру" ,

1. Створити службу захисту інформації кваліфікованого надавача електронних довірчих послуг органів прокуратури України (далі - КНЕДП ОПУ) у складі:

2. Службі захисту інформації КНЕДП ОПУ забезпечити:

- виконання робіт з визначення вимог із захисту інформації в інформаційно-телекомунікаційній системі КНЕДП ОПУ (далі - ІТС КНЕДП);

- проєктування, розроблення і модернізацію комплексної системи захисту інформації ІТС КНЕДП (далі - КСЗІ ІТС КНЕДП);

- експлуатацію, обслуговування, підтримку працездатності КСЗІ ІТС КНЕДП;

- контроль за станом захищеності інформації в ІТС КНЕДП.

3. Затвердити Положення про службу захисту інформації кваліфікованого надавача електронних довірчих послуг органів прокуратури України, що додається.

4. Контроль за виконанням цього наказу покласти на першого заступника Генерального прокурора Говду Р.М.

5. Визнати таким, що втратив чинність, наказ Генеральної прокуратури України від 05 листопада 2018 року № 222 "Про створення служби захисту інформації Центру сертифікації ключів Генеральної прокуратури України".

1. Це Положення визначає структуру, склад, завдання, функції та повноваження служби захисту інформації (далі - СЗІ) кваліфікованого надавача електронних довірчих послуг органів прокуратури України (далі - КНЕДП).

2. СЗІ створюється наказом Генерального прокурора з метою організаційного забезпечення завдань керування комплексною системою захисту інформації (далі - КСЗІ) КНЕДП та здійснення контролю за її функціонуванням.

3. У своїй діяльності СЗІ керується Конституцією України, Законами України "Про прокуратуру", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про захист персональних даних", "Про державну службу", "Про електронні довірчі послуги", Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27.09.99 № 1229/99, Вимогами у сфері електронних довірчих послуг, затвердженими постановою Кабінету Міністрів України від 07.11.2018 № 992, Правилами забезпечення захисту інформації в інформаційних, телекомунікаційних та в інформаційно-телекомунікаційних системах, затвердженими постановою Кабінету Міністрів України від 29.03.2006 № 373, Типовим положенням про службу захисту інформації в автоматизованій системі (НД ТЗІ 1.4-001-2000), затвердженим наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 04.12.2000 № 53, іншими нормативно-правовими актами, державними і галузевими стандартами, наказами Генерального прокурора з питань забезпечення захисту інформації, а також цим Положенням.

4. СЗІ організовує свою роботу у взаємодії зі структурними підрозділами Офісу Генерального прокурора, прокуратурами всіх рівнів, державними органами, підприємствами, установами та організаціями у сфері захисту інформації.

5. СЗІ здійснює діяльність відповідно до Плану захисту інформації та інших планів роботи, затверджених керівництвом Офісу Генерального прокурора.

6. Для проведення окремих заходів із захисту інформації в інформаційно-телекомунікаційній системі КНЕДП (далі - ІТС КНЕДП), які пов'язані з компетенцією інших підрозділів, наказом Генерального прокурора визначаються перелік, строки виконання та підрозділи для виконання цих робіт.

7. Матеріально-технічну базу для забезпечення діяльності СЗІ становлять засоби захисту інформації, програмне забезпечення, технічне та інженерне обладнання, засоби вимірювань і контролю, відповідна документація, а також інші засоби й обладнання, необхідні для виконання СЗІ покладених на неї завдань.

8. Засоби захисту інформації та захищені засоби, що використовуються працівниками СЗІ при виконанні своїх службових обов'язків, повинні мати одержане в установленому порядку підтвердження відповідності вимогам нормативних документів у сфері захисту інформації.

9. Матеріально-технічне та інше спеціальне забезпечення СЗІ здійснюється в установленому в Офісі Генерального прокурора порядку.

10. Персональний склад СЗІ затверджується наказом Генерального прокурора.

Виконання функцій СЗІ покладається на працівників Офісу Генерального прокурора, які мають вищу технічну чи юридичну освіту, практичний досвід роботи з автоматизованими інформаційними системами, володіють навичками з розробки, впровадження, експлуатації КСЗІ та засобів захисту інформації, а також з реалізації організаційних, технічних та інших заходів із захисту інформації, знаннями і вмінням застосовувати нормативно-правові документи у сфері захисту інформації.

11. При покладенні на працівника функцій СЗІ з метою забезпечення конфіденційності робіт ним надається письмове зобов'язання щодо нерозголошення відомостей, що становлять службову або іншу таємницю і які стали йому відомі в період роботи в КНЕДП, у тому числі про персональні дані.

12. Безпосереднє керівництво роботою СЗІ здійснює його начальник. У разі відсутності начальника СЗІ його обов'язки виконує член СЗІ - адміністратор безпеки та аудиту КНЕДП.

1. Виконання робіт, пов'язаних із визначенням вимог щодо захисту інформації в КНЕДП.

2. Участь у проєктуванні, розробленні, експлуатації, обслуговуванні, підтримці працездатності КНЕДП та контролі за станом захищеності інформації.

3. Захист у межах компетенції прав користувачів КНЕДП щодо безпеки інформації КНЕДП, його персоналу в процесі інформаційної діяльності та взаємодії між собою, структурними підрозділами Офісу Генерального прокурора, прокуратурами всіх рівнів, державними органами, підприємствами, установами та організаціями у сфері захисту інформації.

4. Дослідження технології обробки інформації в КНЕДП з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію.

5. Організація та координація робіт, пов'язаних із захистом інформації в КНЕДП, у порядку, передбаченому законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій.

6. Участь у розробленні проєктів організаційно-розпорядчих документів Офісу Генерального прокурора з питань безпеки та захисту інформації в КНЕДП, правил експлуатації КСЗІ, контролю за їх дотриманням.

7. Організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу ІТС КНЕДП.

8. Участь в організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів КНЕДП з питань захисту інформації.

9. Організація виконання персоналом і користувачами КНЕДП вимог нормативно-правових актів, організаційно-розпорядчих документів із захисту інформації в КНЕДП, проведення перевірок їх виконання.

1. Основними функціями СЗІ під час впровадження комплексної системи захисту інформації є:

- визначення переліку відомостей, які підлягають захисту в процесі обробки, інших об'єктів захисту в ІТС, класифікації інформації за вимогами до її конфіденційності або важливості для Офісу Генерального прокурора, необхідних рівнів захищеності інформації, визначення порядку введення (виведення) та використання інформації в ІТС;

- розроблення та коригування моделі загроз і моделі порушника, політики безпеки інформації в ІТС;

- визначення і формування вимог до КСЗІ;

- організація і координація, спільно з відповідним підрозділом Офісу Генерального прокурора, робіт з проєктування та розроблення КСЗІ, безпосередня участь у проєктних роботах зі створення КСЗІ;

- підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ;

- організація робіт і участь у випробуваннях КСЗІ, у проведенні її експертизи;

- вибір організацій-виконавців робіт зі створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт із захисту інформації, погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, техноробочий проєкт, програма і методика випробувань, плани робіт тощо);

- участь у розробленні проєктів організаційно-розпорядчих документів, які встановлюють правила доступу користувачів до ресурсів ІТС, визначають порядок, норми, правила захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій тощо), відповідальність за порушення вимог щодо безпеки інформації та встановлених правил експлуатації КСЗІ.

2. Основними функціями СЗІ під час експлуатації комплексної системи захисту інформації є:

- організація процесу управління КСЗІ;

- розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження бази даних таких подій;

- вжиття заходів у разі виявлення спроб несанкціонованого доступу до ресурсів ІТС, порушення правил експлуатації засобів захисту інформації або у разі наявності інших дестабілізуючих факторів;

- забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;

- організація управління доступом до ресурсів ІТС (розподіл між користувачами необхідних реквізитів захисту інформації: паролів, привілеїв, ключів тощо);

- супроводження та актуалізація бази даних захисту інформації (матриць доступу, класифікаційних міток об'єктів, ідентифікаторів користувачів тощо);

- спостереження (реєстрація та аудит подій в ІТС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;

- підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в ІТС, впровадження нових технологій захисту і модернізації КСЗІ;

- організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій в ІТС або КСЗІ;

- участь у роботах з модернізації ІТС, узгодження пропозицій щодо введення до її складу нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;

- забезпечення супроводження і актуалізації еталонних, архівних та резервних копій програмних компонентів КСЗІ, забезпечення їх зберігання і тестування;

- проведення аналітичного оцінювання поточного стану безпеки інформації в ІТС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки у поточній моделі загроз тощо);

- інформування користувачів ІТС про технічні можливості системи захисту інформації в ІТС і типові правила, встановлені для його персоналу;

- негайне втручання в процес роботи ІТС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з виявлення порушника;