Відповідно до Законів України "Про захист інформації в інформаційно-телекомунікаційних системах", "Про прокуратуру", Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13.07.2004 № 903, Типового положення про службу захисту інформації в автоматизованій системі НД ТЗІ 1.4-001-2000, затвердженого наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 04.12.2000 № 53, з метою забезпечення завдань керування комплексною системою захисту інформації інформаційно-телекомунікаційної системи Центру сертифікації ключів Генеральної прокуратури України та здійснення контролю за її функціонуванням

1. Створити службу захисту інформації Центру сертифікації ключів Генеральної прокуратури України (далі - ЦСК ГПУ) у складі таких посадових осіб ЦСК ГПУ:

2. Службі захисту інформації ЦСК ГПУ забезпечити:

- виконання робіт з визначення вимог із захисту інформації в інформаційно-телекомунікаційній системі ЦСК ГПУ (далі - ІТС ЦСК);

- проектування, розроблення і модернізацію комплексної системи захисту інформації ІТС ЦСК (далі - КСЗІ ІТС ЦСК);

- експлуатацію, обслуговування, підтримку працездатності КСЗІ ІТС ЦСК;

- контроль за станом захищеності інформації в ІТС ЦСК.

3. Затвердити Положення про службу захисту інформації Центру сертифікації ключів Генеральної прокуратури України, що додається.

4. Контроль за виконанням цього наказу покласти на першого заступника Генерального прокурора Сторожука Д.А.

1. Це Положення визначає структуру, склад, завдання, функції та повноваження служби захисту інформації (далі - СЗІ) Центру сертифікації ключів Генеральної прокуратури України (далі - ЦСК).

2. СЗІ створюється наказом Генеральної прокуратури України з метою організаційного забезпечення завдань керування комплексною системою захисту інформації (далі - КСЗІ) в ЦСК та здійснення контролю за її функціонуванням. СЗІ є підрозділом ЦСК, підпорядкованим її керівнику.

3. У своїй діяльності СЗІ керується Конституцією України, Законами України "Про прокуратуру", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про державну службу", "Про електронний цифровий підпис", Указом Президента України "Про Положення про технічний захист інформації в Україні", Порядком акредитації центру сертифікації ключів, затвердженим постановою Кабінету Міністрів України від 13.07.2004 № 903, Правилами забезпечення захисту інформації в інформаційних, телекомунікаційних та в інформаційно-телекомунікаційних системах, затвердженими постановою Кабінету Міністрів України від 29.03.2006 № 373, Типовим положенням про службу захисту інформації в автоматизованій системі (НД ТЗІ 1.4-001-2000), затвердженим наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 04.12.2000 № 53, Правилами посиленої сертифікації, затвердженими наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13.01.2005 № 3, зареєстрованими у Міністерстві юстиції України 27.01.2005 за № 104/10384, іншими нормативно-правовими актами, державними і галузевими стандартами, наказами Генеральної прокуратури України з питань забезпечення захисту інформації, а також цим Положенням.

4. СЗІ організовує свою роботу у взаємодії зі структурними підрозділами Генеральної прокуратури України, прокуратурами всіх рівнів, державними органами, підприємствами, установами та організаціями у сфері захисту інформації.

5. СЗІ здійснює діяльність відповідно до Плану захисту інформації та інших планів роботи, затверджених керівництвом Генеральної прокуратури України.

6. Для проведення окремих заходів із захисту інформації в інформаційно-телекомунікаційній системі ЦСК (далі - ІТС ЦСК), які пов'язані з напрямом діяльності інших підрозділів, наказом Генеральної прокуратури України визначається перелік, строки виконання та підрозділи для виконання цих робіт.

7. Матеріально-технічну базу для забезпечення діяльності СЗІ становлять належні їй засоби захисту інформації, програмне забезпечення, технічне та інженерне обладнання, засоби вимірювань і контролю, відповідна документація, а також інші засоби і обладнання, необхідні для виконання СЗІ покладених на неї завдань.

8. Засоби захисту інформації та захищені засоби, що використовуються працівниками СЗІ при виконанні своїх службових обов'язків, повинні мати одержане в установленому порядку підтвердження відповідності вимогам нормативних документів у сфері захисту інформації.

9. Матеріально-технічне та інше спеціальне забезпечення СЗІ здійснюється в установленому у Генеральній прокуратурі України порядку.

10. СЗІ утворюється у складі його начальника та членів.

10.1. Виконання функцій СЗІ може покладатися на працівників Генеральної прокуратури України, які мають вищу технічну чи юридичну освіту, практичний досвід роботи з автоматизованими інформаційними системами, володіють навичками з розробки, впровадження, експлуатації КСЗІ та засобів захисту інформації, а також з реалізації організаційних, технічних та інших заходів із захисту інформації, знаннями і вмінням застосовувати нормативно-правові документи у сфері захисту інформації.

10.2. Персональний склад СЗІ затверджується наказом Генеральної прокуратури України.

11. При покладанні на працівника функцій СЗІ з метою забезпечення конфіденційності робіт ним надається письмове зобов'язання щодо нерозголошення відомостей, що становлять службову або іншу таємницю і які стали йому відомі в період роботи в ЦСК, у тому числі про персональні дані.

12. Безпосереднє керівництво роботою СЗІ здійснює його начальник. У разі відсутності начальника СЗІ його обов'язки виконує член СЗІ - адміністратор безпеки ЦСК.

1. Виконання робіт із визначення вимог із захисту інформації в ЦСК.

2. Участь у проектуванні, розробленні, експлуатації, обслуговуванні, підтримці працездатності ЦСК та контролі за станом захищеності інформації.

3. Захист, у межах компетенції, прав користувачів ЦСК щодо безпеки інформації ЦСК, його персоналу в процесі інформаційної діяльності та взаємодії між собою, структурними підрозділами Генеральної прокуратури України, прокуратурами усіх рівнів, державними органами, підприємствами, установами та організаціями у сфері захисту інформації.

4. Дослідження технології обробки інформації в ЦСК з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію.

5. Організація та координація робіт, пов'язаних із захистом інформації в ЦСК, у порядку, передбаченому законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій.

6. Розроблення проектів нормативно-правових та організаційно-розпорядчих документів Генеральної прокуратури України з питань захисту інформації в ЦСК.

7. Організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу ІТС ЦСК.

8. Участь в організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів ЦСК з питань захисту інформації.

9. Організація виконання персоналом і користувачами ЦСК вимог нормативно-правових актів, організаційно-розпорядчих документів із захисту інформації в ЦСК, проведення перевірок їх виконання.

1. Визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об'єктів захисту в ЦСК, класифікація інформації за вимогами до її конфіденційності або важливості для Генеральної прокуратури України, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в ЦСК.

2. Розробка та коригування моделі загроз і моделі захисту інформації, політики безпеки інформації в ЦСК.

3. Визначення і формування вимог до КСЗІ.

4. Організація і координація, спільно з уповноваженим підрозділом Генеральної прокуратури України, робіт з проектування та розробки КСЗІ, безпосередня участь у проектних роботах зі створення КСЗІ.

5. Підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ.

6. Організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи.

7. Вибір організацій-виконавців робіт зі створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт із захисту інформації, погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт тощо).

8. Участь у розробці нормативно-правових актів та організаційно-розпорядчих документів Генеральної прокуратури України з питань безпеки та захисту інформації, правил експлуатації КСЗІ, контролю за їх дотриманням.

9. Розробка планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу ЦСК.

10. Розробка спеціальних програм навчання з урахуванням особливостей технології обробки інформації в ЦСК, рівня її захищеності тощо.

11. Участь в організації і проведенні навчання користувачів і персоналу ЦСК правилам роботи з КСЗІ, захищеними технологіями та ресурсами.

12. Взаємодія з державними органами, навчальними закладами, іншими організаціями з питань навчання та підвищення кваліфікації.

1. З метою виконання покладених завдань СЗІ має право:

- здійснювати контроль за діяльністю персоналу ЦСК щодо виконання вимог нормативно-правових актів, організаційно-розпорядчих документів із захисту інформації;

- подавати керівництву Генеральної прокуратури України пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки тощо у випадку виявлення порушень політики безпеки або у випадку виникнення реальної загрози порушення безпеки;