Кабінет Міністрів України постановляє:

1. Погодитися з пропозицією Адміністрації Державної служби спеціального зв’язку та захисту інформації стосовно реалізації протягом двох років з дня набрання чинності цією постановою експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації (далі - експериментальний проект).

2. Затвердити Порядок реалізації експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації, що додається.

3. Установити, що:

1) координатором експериментального проекту є Адміністрація Державної служби спеціального зв’язку та захисту інформації;

2) учасниками експериментального проекту є центральні та місцеві органи виконавчої влади, інші державні органи і підприємства, установи та організації, що належать до сфери їх управління, органи військового управління та військові формування, утворені відповідно до закону.

4. Адміністрації Державної служби спеціального зв’язку та захисту інформації забезпечити:

1) технічну можливість реалізації експериментального проекту;

2) оприлюднення інформації про реалізацію експериментального проекту;

3) інформування щороку Кабінету Міністрів України про результати реалізації експериментального проекту;

4) подання протягом місяця з дня завершення реалізації експериментального проекту Кабінету Міністрів України звіту та пропозицій щодо внесення відповідних змін до законодавчих та інших нормативно-правових актів за результатами його реалізації.

1. Цей Порядок визначає механізм реалізації експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі - системи), створених з використанням базових та цільових профілів безпеки інформації (далі - експериментальний проект).

Метою експериментального проекту є підвищення рівня захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, оптимізація процесу державної експертизи та підтвердження відповідності комплексних систем захисту інформації в системах.

Дія цього Порядку не поширюється на заходи із захисту інформації від витоку технічними каналами.

2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України "Про інформацію", "Про доступ до публічної інформації", "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", "Про електронні комунікації", "Про Державну службу спеціального зв’язку та захисту інформації України".

3. Під час реалізації експериментального проекту підтвердження відповідності комплексних систем захисту інформації в системах, створених з використанням базових та цільових профілів безпеки інформації, здійснюється шляхом декларування згідно з цим Порядком.

Базовим профілем безпеки інформації (далі - базовий профіль) є вимоги з безпеки інформації та взаємопов’язана сукупність заходів з її захисту, визначені Адміністрацією Держспецзв’язку для відкритої інформації та інформації з обмеженим доступом, яка обробляється у системах.

Цільовим профілем безпеки інформації (далі - цільовий профіль) є взаємопов’язана сукупність заходів із захисту інформації та їх налаштування, визначених для системи її власником (розпорядником) відповідно до базового профілю з урахуванням вимог законодавства та стандартів у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, нормативних документів системи технічного захисту інформації, галузевих вимог, політик безпеки в системах, а також призначення системи, її характеристик та особливостей функціонування, результатів проведеної оцінки ризиків.

Під час визначення цільового профілю власник (розпорядник) системи самостійно обирає стандарти у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, які використовуються під час здійснення заходів із захисту інформації, шляхи і способи здійснення таких заходів відповідно до цільового профілю, а також визначає наявність у ньому інформації з обмеженим доступом та забезпечує дотримання встановлених правил роботи з документами, які містять інформацію з обмеженим доступом.

Передбачені у цільовому профілі заходи із захисту інформації, обрані стандарти, шляхи і способи здійснення таких заходів повинні включати відповідні вимоги та заходи, визначені базовим профілем.