З метою проведення заходів із створення та впровадження комплексних систем захисту інформації в автоматизованих системах класу "1" Міністерства регіонального розвитку, будівництва та житлово-комунального господарства України, які призначені для обробки інформації, що становить державну таємницю, та інформації зі ступенем обмеження доступу "Для службового користування", відповідно до законів України "Про захист інформації в інформаційно-телекомунікаційних системах" та "Про державну таємницю", вимог ДСТУ 3396.0-96 "Захист інформації. Технічний захист інформації. Основні положення", НД ТЗІ 1.4-001-2000 "Типове положення про службу захисту інформації в автоматизованій системі", НД ТЗІ 2.6-001-11 "Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах"

1. Затвердити Положення про службу захисту інформації в автоматизованих системах класу "1" Міністерства регіонального розвитку, будівництва та житлово-комунального господарства України, що додається.

2. Контроль за виконанням цього наказу залишаю за собою.

1. Положення про службу захисту інформації (далі - Положення) в автоматизованих системах (далі - АС) класу "1" ("АС1-РСО-1", "АС1-РСО-2" та "АС1-ДСК") на об'єктах електронно-обчислювальної техніки Міністерства регіонального розвитку, будівництва та житлово-комунального господарства України визначає завдання, функції, штатну структуру, повноваження та відповідальність служби захисту інформації, взаємодію з іншими підрозділами та зовнішніми організаціями.

2. У цьому Положенні наведено посилання на такі нормативно-правові акти:

1) Закон України "Про інформацію";

2) Закон України "Про захист інформації в інформаційно-телекомунікаційних системах";

3) Закон України "Про державну таємницю";

4) Кодекс законів про працю України;

5) Концепція технічного захисту інформації в Україні, затверджена постановою Кабінету Міністрів України від 08.10.1997 № 1126;

6) Положення про технічний захист інформації в Україні, затверджене указом Президента України від 27.09.1999 № 1229;

7) Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджене постановою Кабінету Міністрів України від 16.02.1998 № 180;

8) НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу;

9) НД ТЗІ 1.1-003-99. Термінологія у галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;

10) НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;

11) НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу;

12) НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі.

3. Терміни та визначення в цьому Положенні застосовуються відповідно до встановлених ДСТУ 3396.2-96 "Захист інформації. Технічний захист інформації. Терміни та визначення", НД ТЗІ 1.1-003-99 "Термінологія у галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу" та ДСТУ 2226-93 "Автоматизовані системи. Терміни та визначення".

4. Власник АС, в яких обробляється інформація з обмеженим доступом, що становить державну таємницю, або інформація з обмеженим доступом, яка є власністю держави, утворює службу захисту інформації (далі - СЗІ) або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.

5. У зв'язку з умовами функціонування та порядком експлуатації АС, які визначаються відповідно до статті 8 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", пункту 14 Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в інформаційних, телекомунікаційних та інформаційно -телекомунікаційних системах, затвердженого постановою Кабінету Міністрів України від 16.02.1998 № 180, та пункту 18 Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29.03.2006 № 373, окрема служба захисту інформації в АС Міністерства може не створюватись. У таких випадках здійснення обов'язків СЗІ в АС Міністерства покладаються на особу, яка призначається наказом керівника Міністерства.

На час відсутності особи, на яку покладено здійснення обов'язків СЗІ (у зв'язку з відпусткою, службовим відрядженням, хворобою тощо), його обов'язки тимчасово виконує інша визначена керівником Міністерства особа.

Припинення повноважень особи, на яку покладено здійснення обов'язків СЗІ, здійснюється наказом керівника Міністерства.

6. СЗІ здійснює свою діяльність відповідно до Плану захисту інформації, календарних та інших планів робіт. Для проведення окремих заходів з захисту інформації в АС Міністерства, які пов'язані з напрямом діяльності інших підрозділів Міністерства, перелік, строки виконання та підрозділи для виконання цих робіт мають бути визначені окремо.

7. У своїй роботі СЗІ взаємодіє з режимно-секретним органом Міністерства (далі - РСО), а також з державними органами, установами та організаціями, що займаються питаннями захисту інформації.

У разі потреби до виконання робіт можуть залучатися зовнішні організації, що мають ліцензії на відповідний вид діяльності у сфері захисту інформації (за їх згодою).

8. Завданнями СЗІ є:

1) захист прав щодо безпеки інформації в АС класу "1" Міністерства в процесі інформаційної діяльності та внутрішньої взаємодії;

2) дослідження технології обробки інформації в АС з метою виявлення можливих каналів витоку (для АС1-РСО-1 та АС1-РСО-2) та інших загроз для безпеки інформації, участь у формуванні моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію;

3) організація та координація робіт, пов'язаних із забезпеченням захисту інформації, необхідність захисту якої визначається чинним законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій;

4) участь у розробленні проектів нормативних і розпорядчих документів, чинних у Міністерстві, згідно з якими повинен забезпечуватися захист інформації в АС класу "1";

5) організація робіт зі створення і використання комплексної системи захисту інформації (далі - КСЗІ) на всіх етапах життєвого циклу АС;

6) участь в організації підвищення кваліфікаційного рівня користувачів АС з питань захисту інформації;

7) організація забезпечення виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів з захисту інформації в АС класу "1" та проведення контрольних перевірок їх виконання;

8) організація та координація робіт, пов'язаних з захистом інформації під час її обробки в АС класу "1".

9. Функції СЗІ під час створення комплексної системи захисту інформації включають:

1) визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об'єктів захисту в АС, класифікація інформації за вимогами до її конфіденційності або важливості для організації, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в АС;

2) участь у розробленні та коригуванні моделі загроз і моделі захисту інформації в АС, політики безпеки інформації в АС;

3) визначення і формування вимог до КСЗІ;

4) організація і координація робіт з проектування та розроблення КСЗІ, безпосередня участь у проектних роботах з створення КСЗІ;

5) підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами (для АС1-РСО-1 та АС1-РСО-2) та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ;

6) організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи;

7) вибір організацій-виконавців робіт з створення КСЗІ (у разі необхідності), здійснення контролю за дотриманням встановленого порядку проведення робіт з захисту інформації, у взаємодії з підрозділом РСО погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт та ін.);

8) участь у розробленні нормативних документів, чинних у межах Міністерства і АС, які встановлюють дисциплінарну відповідальність за порушення вимог з безпеки інформації та встановлених правил експлуатації КСЗІ;

9) участь у розробленні нормативних документів, чинних у межах організації і АС, які встановлюють правила доступу користувачів до ресурсів АС, визначають порядок, норми, правила з захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій).

10. Функції СЗІ під час експлуатації комплексної системи захисту інформації включають: