- •Нормативно-правове забезпечення інформаційної безпеки збірник лекцій
- •Нормативно-правові акти, які закріплюють концептуальні положення інформаційної безпеки України
- •Види таємниць особистого життя з урахуванням чинного законодавства
- •Контрольні питання
- •2. Нормативно-правові акти, які закріплюють визначальні положення щодо забезпечення інформаційної безпеки України
- •Згідно п.4 Положення Держінформнауки відповідно до покладених на нього завдань:
- •Контрольні питання
- •3. Нормативно-правові акти, які визначають порядок охорони державної таємниці в Україні
- •- Загальних положень щодо захисту секретної інформації в ас класу «1»;
- •Контрольні питання
- •4. Нормативно-правові акти з інформаційної безпеки телекомунікаційних систем
- •Контрольні питання
- •5. Закони України про електронний документообіг та цифровий підпис
- •Контрольні питання
- •6. Підзаконні нормативні акти щодо електронного документообігу та цифрового підпису
- •Контрольні питання
- •7. Нормативно-правові акти, які визначають порядок технічного захисту інформації в Україні
- •Національні стандарти розробляються у відповідності до вимог:
- •- Дсту 1.2-2003 Національна стандартизація. Порядок розроблення національних нормативних документів;
- •- Дсту 1.5:2003 Національна стандартизація. Правила побудови, викладання, оформлення та вимоги до змісту нормативних документів;
- •- Дсту 1.7-2001 Національна стандартизація. Правила і методи прийняття та застосування міжнародних і регіональних стандартів.
- •Організація проведення обстеження
- •Організація розроблення системи тзі
- •Реалізація організаційних заходів тзі
- •Реалізація первинних технічних заходів захисту
- •Реалізація основних технічних заходів захисту
- •Приймання, визначення повноти та якості робіт
- •Основні напрями розробки нд тзі
- •1. Тзі на об’єктах інформаційної діяльності:
- •2. Тзі в комп'ютерних системах:
- •3. Тзі на програмно-керованих атс:
- •Контрольні питання
- •8. Нормативно-правові акти у сфері захисту державних електронних інформаційних ресурсів України
- •Контрольні питання
Контрольні питання
1. Який нормативно-правовий акт є основним у сфері захисту таємної інформації?
2. Який орган є спеціально уповноваженим у сфері охорони державної таємниці?
3. На підставі якого нормативно-правового акту інформація визначається державною таємницею?
4. Які є ступені секретності інформації та строки віднесення її до цих ступенів?
5. Яким чином установи отримують право на роботу з державною таємницею?
6. Який є строк дії дозволу на роботу з державною таємницею?
7. Який підрозіл в установі відповідає за роботу з державною таємницею?
8. Які є форми допуску до державної таємниці залежно від ступеня секретності?
9. Які визначені строки дії форм допуску до державної таємниці?
10. Яким громадянам може бути наданий допуск до державної таємниці?
11. Що відносно громадянина та у який строк здійснює орган СБУ у зв’язку з його допуском до державної таємниці?
12. Кому доступ до державної таємниці усіх ступенів секретності надається після призначення на посаду?
13. На який період після припинення роботи з державною таємницею громадянину може бути обмежений виїзд на постійне місце проживання в іноземну державу?
14. Які особи допускаються до користування засобами криптозахисту секретної інформації?
15. Які нормативно-правові акти підлягають державній реєстрації в Міністерстві юстиції України?
4. Нормативно-правові акти з інформаційної безпеки телекомунікаційних систем
З метою обміну інформацією з обмеженим доступом з використанням телекомунікаційної мережі загального користування всі країни створюють спеціальні телекомунікаційні мережі, які забезпечують технічний та криптографічний захист інформації. Так, ще у 1930 році на території України та Росії була побудована перша телекомунікаційна лінія засекреченого зв’язку, яка з’єднала столицю УРСР Харків і столицю СРСР Москву.
У подальшому на території СРСР була побудована та функціонувала загальнодержавна мережа урядового зв’язку, що забезпечувала захист секретної інформації. У 1991 році, коли Україна стала незалежною державою, вона отримала у спадок мережу та обладнання урядового зв’язку, що знаходилось на її території.
На даний час в Україні функціонує державна система урядового зв’язку (ДСУЗ) - система спеціального зв’язку, що функціонує в інтересах здійснення управління державою у мирний час, в умовах надзвичайного стану та в особливий період із забезпеченням додержання вимог законодавства під час передавання, приймання та оброблення інформації, що містить державну таємницю.
Нормативно-правовим підгрунтям функціонування ДСУЗ є закон «Про Державну службу спеціального зв’язку та захисту інформації України» (далі – Держспецзв’язку). Функіонування, безпеку та розвиток ДСУЗ забезпечує Держспецзв’язку на підставі спеціальних Указів Президента України та інших нормативно-правових актів, які мають, як правило, гриф секретності.
Офіційний сайт Держспецзв’язку: www.dsszzi.gov.ua.
Разом з тим, з метою обміну конфіденційною інформацією з використанням телекомунікаційної мережі загального користування постало питання щодо створення конфіденційної телекомунікаційної мережі. Так, у 2002 році був прийнятий Закон України «Про Національну систему конфіденційного зв'язку»(далі - Закон).
У цьому Законі нижченаведені терміни вживаються в такому значенні:
- спеціальна телекомунікаційна система (мережа) - телекомунікаційна система (мережа), призначена для обміну інформацією з обмеженим доступом;
- Національна система конфіденційного зв'язку (далі - НСКЗ) - сукупність спеціальних телекомунікаційних систем (мереж) подвійного призначення, які за допомогою криптографічних та/або технічних засобів забезпечують обмін інформацією з обмеженим доступом, крім інформації, що становить державну таємницю в інтересах органів державної влади та органів місцевого самоврядування, створюють належні умови для їх взаємодії в мирний час та у разі введення надзвичайного і воєнного стану.
Згідно статті 5 Закону складовими НСКЗ є спеціальні телекомунікаційні системи (мережі), їх фіксовані і мобільні компоненти, централізовані системи захисту інформації та оперативно-технічного управління. Структура побудови НСКЗ повинна забезпечувати відокремлення інформації з обмеженим доступом, крім інформації, що становить державну таємницю, органів державної влади та органів місцевого самоврядування, інших юридичних та фізичних осіб з використанням криптографічних та/або технічних засобів.
Згідно статті 6 Закону управління НСКЗ, її функціонування, розвиток, використання та захист інформації забезпечуються спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації відповідно до законодавства. Централізовані системи захисту інформації та оперативно-технічного управління перебувають у державній власності і не підлягають приватизації.
Згідно статті 7 Закону послуги конфіденційного зв'язку надаються органам державної влади та органам місцевого самоврядування, державним підприємствам, установам, організаціям, іншим юридичним та фізичним особам на платній основі.
Надання послуг конфіденційного зв'язку іншим юридичним та фізичним особам здійснюється відповідно до законодавства на підставі договору між споживачем та оператором.
Послуги конфіденційного зв'язку надаються операторами, які є юридичними особами та мають ліцензії на право надання послуг фіксованого та/або рухомого (мобільного) телефонного зв'язку, а також надання послуг у галузі криптографічного та/або технічного захисту інформації відповідно до законодавства.
З метою реалізації вимог Закону був прийнятий «Порядок надання послуг конфіденційного зв'язку органам державної влади та органам місцевого самоврядування, державним підприємствам, установам та організаціям» (далі - Порядок),затверджений постановою Кабінету Міністрів України від 11 жовтня 2002 року № 1519 (у редакції постанови Кабінету Міністрів Українивід 29 квітня 2013 року № 328):
Згідно п.5 Порядку захист інформації під час надання послуг конфіденційного зв’язку забезпечується операторами шляхом вжиття відповідно до законодавства організаційних та інженерно-технічних заходів із застосуванням криптографічних і технічних засобів захисту інформації.
Згідно п.7 Порядку послуги конфіденційного зв’язку надаються відповідно до договору, примірна форма якого затверджується Адміністрацією. До укладення договору оператор за зверненням споживача зобов’язаний безоплатно надати споживачеві для ознайомлення вичерпну інформацію про зміст, якість, вартість і порядок надання послуг конфіденційного зв’язку.
Основним нормативно-правовим актом України щодо захисту інформації в комп’ютерних системах є Закон «Про захист інформації в інформаційно-телекомунікаційних системах», який регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - система).
У цьому Законі наведені нижче терміни вживаються в такому значенні:
- інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
- телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;
- інформаційно-телекомунікаційна система - сукупність інформаційних та теле-комунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
- захист інформації в системі - діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;
- комплексна система захисту інформації (далі – КСЗІ) - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
Згідностатті 5Закону власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом. Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі.
Згідностатті 8 Закону інформація, яка є власністю держави, або інформація з обмеженим доступом (далі – ІзОД), вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням КСЗІ з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Для створення КСЗІ, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
Згідностатті 9 Закону відповідальність за забезпечення захисту інформації в системі покладається на власника системи. Власник системи, в якій обробляється інформація, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, власник системи повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкований йому регіональний орган.
Згідностатті 10 Закону спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації:
- розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
- визначає вимоги та порядок створення КСЗІ, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
- організовує проведення державної експертизи КСЗІ, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
- здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом;
- здійснює заходи щодо виявлення загрози державним інформаційним ресурсам від несанкціонованих дій в ІТС та дає рекомендації з питань запобігання такій загрозі.
Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.
Згідно п.1 «Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України», затвердженого Указом Президента України від 30 червня 2011 року № 717, Адміністрація є центральним органом виконавчої влади в галузі зв'язку та спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації.
З метою реалізації положень Закону 29 березня 2006 року Кабінетом Міністрів України постановою № 373 були затверджені «Правила забезпечення захисту інформації в ІТС» (далі - Правила), які визначають загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в ІТС.
У Правилах наведені нижче терміни вживаються у такому значенні:
- автентифікація - процедура встановлення належності користувачу інформації в системі (далі - користувач) пред'явленого ним ідентифікатора (пароль);
- ідентифікація - процедура розпізнавання користувача в системі як правило за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою (логін).
Згідно п.4 Правил захисту в системі підлягає:
- відкрита інформація, яка належить до державних інформаційних ресурсів, а також відкрита інформація про діяльність суб'єктів владних повноважень, військових формувань, яка оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами (далі - відкрита інформація);
- конфіденційна інформація, яка перебуває у володінні розпорядників інформації, визначених Законом України «Про доступ до публічної інформації»;
- службова інформація;
- інформація, яка становить державну або іншу передбачену законом таємницю (далі - таємна інформація);
- інформація, вимога щодо захисту якої встановлена законом.
Згідно п.5 Правил відкрита інформація під час обробки в системі повинна зберігати цілісність, що забезпечується шляхом захисту від несанкціонованих дій, які можуть призвести до її випадкової або умисної модифікації чи знищення.
Усім користувачам повинен бути забезпечений доступ до ознайомлення з відкритою інформацією. Модифікувати або знищувати відкриту інформацію можуть лише ідентифіковані та автентифіковані користувачі, яким надано відповідні повноваження.
Спроби модифікації чи знищення відкритої інформації користувачами, які не мають на це повноважень, неідентифікованими користувачами або користувачами з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.
Згідно п.6 Правил під час обробки службової і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
Згідно п.7 Правил доступ до службової інформації надається тільки ідентифікованим та автентифікованим користувачам. Спроби доступу до такої інформації неідентифікованих осіб чи користувачів з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.
У системі забезпечується можливість надання користувачеві права на виконання однієї або кількох операцій з обробки конфіденційної інформації або позбавлення його такого права.
Згідно п.11 Правил у системі здійснюється обов'язкова реєстрація:
- результатів ідентифікації та автентифікації користувачів;
- результатів виконання користувачем операцій з обробки інформації;
- спроб несанкціонованих дій з інформацією;
- фактів надання та позбавлення користувачів права доступу до інформації та її обробки;
- результатів перевірки цілісності засобів захисту інформації.
Забезпечується можливість проведення аналізу реєстраційних даних виключно користувачем, якого уповноважено здійснювати управління засобами захисту інформації і контроль за захистом інформації в системі (адміністратор безпеки).
Реєстрація здійснюється автоматичним способом, а реєстраційні дані захищаються від модифікації та знищення користувачами, які не мають повноважень адміністратора безпеки.
Реєстрація спроб несанкціонованих дій з інформацією, що становить державну таємницю, а також конфіденційної інформації про фізичну особу, яка законом віднесена до персональних даних, повинна супроводжуватися повідомленням про них адміністратора безпеки.
Згідно п.12 Правил ідентифікація та автентифікація користувачів, надання та позбавлення їх права доступу до інформації та її обробки, контроль за цілісністю засобів захисту в системі здійснюється автоматизованим способом.
Згідно п.13 Правил передача службової і таємної інформації з однієї системи до іншої здійснюється у зашифрованому вигляді або захищеними каналами зв'язку згідно з вимогами законодавства з питань технічного та криптографічного захисту інформації.
Згідно п.15 Правил у системі здійснюється контроль за цілісністю програмного забезпечення, яке використовується для обробки інформації, запобігання несанкціонованій його модифікації та ліквідація наслідків такої модифікації.
Контролюється також цілісність програмних та технічних засобів захисту інформації. У разі порушення їх цілісності обробка в системі інформації припиняється.
Згідно п.16 Правил для забезпечення захисту інформації в системі створюється КСЗІ, яка призначається для захисту інформації від:
- витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень (далі - ПЕМВН), акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;
- несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів;
- спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.
Захист інформації від витоку технічними каналами забезпечується в системі у разі, коли в ній обробляється інформація, що становить державну таємницю, або коли відповідне рішення щодо необхідності такого захисту прийнято розпорядником інформації.
Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів, забезпечується в усіх системах.
Захист інформації від спеціального впливу на засоби обробки інформації забезпечується в системі, якщо рішення про необхідність такого захисту прийнято розпорядником інформації.
Згідно п.17 Правил відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для цього заходів та створення системи захисту покладається на керівника організації, яка є власником (розпорядником) системи, та керівників її структурних підрозділів, що забезпечують створення та експлуатацію системи.
Згідно п.18 Правил організація та проведення робіт із захисту інформації в системі здійснюється службою захисту інформації (далі - СЗІ), яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію КСЗІ, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації.
СЗІ утворюється згідно з рішенням керівника організації, що є власником (розпорядником) системи.
У разі коли обсяг робіт, пов'язаних із захистом інформації в системі, є незначний, захист інформації може здійснюватися однією особою.
Згідно п.19 Правил захист інформації на всіх етапах створення та експлуатації системи здійснюється відповідно до розробленого СЗІ плану захисту інформації в системі.
План захисту інформації в системі містить:
- завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації;
- визначення моделі загроз для інформації в системі;
- основні вимоги щодо захисту інформації та правила доступу до неї в системі;
- перелік документів, згідно з якими здійснюється захист інформації в системі;
- перелік і строки виконання робіт службою захисту інформації.
Згідно п.20Правил вимоги та порядок створення КСЗІ встановлюються Адміністрацією Держспецзв'язку (далі - Адміністрація).
Вимоги до захисту інформації кожної окремої системи встановлюються технічним завданням на створення системи або КСЗІ.
Згідно п.21Правил у складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.
У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту.
Згідно п.22Правил порядок проведення державної експертизи системи захисту, державної експертизи та сертифікації засобів технічного і криптографічного захисту інформації встановлюється Адміністрацією.
Органи виконавчої влади, які мають дозвіл на провадження діяльності з технічного захисту інформації для власних потреб, вправі за згодою департаменту організовувати проведення державної експертизи системи захисту на підприємствах, в установах та організаціях, які належать до сфери їх управління.
Порядок проведення такої експертизи встановлюється органом виконавчої влади за погодженням з Адміністрацією.
Згідно п.23Правил виконавцем робіт із створення системи захисту може бути суб'єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації, необхідність проведення якого визначено технічним завданням на створення системи захисту.
Для проведення інших видів робіт з технічного захисту інформації, на провадження яких виконавець не має ліцензії (дозволу), залучаються співвиконавці, що мають відповідні ліцензії.
Якщо для створення системи захисту необхідно провести роботи з криптографічного захисту інформації, виконавець повинен мати ліцензії на провадження виду робіт у сфері криптографічного захисту інформації або залучати співвиконавців, що мають відповідні ліцензії.
16 листопада 2002 року постановою Кабінету Міністрів України № 1772 був затверджений «Порядок взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах», який визначає механізм взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в ІТС.
Поняття, що використовуються у Порядку, мають таке значення:
- несанкціоновані дії - доступ або спроба такого доступу до державних інформаційних ресурсів в ІТС без відповідно оформленого власником або уповноваженою ним особою дозволу, вірусне ураження, вчинення інших дій, які можуть призвести до порушення цілісності, доступності та конфіденційності цих ресурсів;
- телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання (випромінювання) або приймання сигналів, знаків, звуків, рухомих чи нерухомих зображень або іншим способом.
Згідно п.3 Порядку органи виконавчої влади з метою захисту державних інформаційних ресурсів в ІТС:
- визначають перелік ІТС, які містять державні інформаційні ресурси, та погоджують його з Адміністрацією Держспецзв'язку (далі - Адміністрація);
- здійснюють згідно з вимогами нормативно-правових актів з питань захисту інформації під методичним керівництвом Адміністрації заходи щодо захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах, у тому числі підключених до глобальних мереж передавання даних;
- збирають, узагальнюють та аналізують інформацію про вчинення несанкціонованих дій і здійснюють заходи щодо усунення їх наслідків;
- невідкладно (протягом доби) інформують Адміністрацію про спробу вчинення чи вчинення несанкціонованих дій;
- надають на запит Адміністрації інформацію про технічні та програмні засоби, що використовуються для надання мережних послуг, а також про зміни у способах або видах підключення до глобальних мереж передавання даних;
- оновлюють за рекомендаціями Адміністрації антивірусні програмні засоби, використовуючи при цьому лише ті з них, які пройшли державну експертизу.
Згідно п.4 Порядку Адміністрація:
- здійснює методичне керівництво та координує діяльність органів виконавчої влади, пов'язану із запобіганням, виявленням, реагуванням та усуненням наслідків несанкціонованих дій щодо державних інформаційних ресурсів в ІТС, надає в разі потреби допомогу у здійсненні заходів щодо запобігання порушенню цілісності, доступності та конфіденційності зазначених ресурсів;
- надає органам виконавчої влади відомості про антивірусні програмні засоби, які можуть застосовуватися для захисту державних інформаційних ресурсів в ІТС, та проводить перевірку їх оновлення;
- накопичує та аналізує дані про вчинення та/або спроби вчинення несанкціонованих дій щодо державних інформаційних ресурсів в ІТС, а також про їх наслідки, інформує правоохоронні органи для вжиття заходів із запобігання та припинення злочинів у зазначеній сфері, оцінює стан захищеності цих ресурсів та надає відповідні рекомендації.
5. Адміністрація взаємодіє з органами виконавчої влади з питань захисту державних інформаційних ресурсів в ІТС через спеціально уповноважений підрозділ з питань безпеки ІТС Адміністрації.
6. Відновлення функціонування ІТС, виведених з ладу внаслідок вчинення несанкціонованих дій, здійснюється органами виконавчої влади за умови повного блокування таких дій та усунення їх наслідків власними силами (у разі потреби - за допомогою Адміністрації), виявлення та усунення причин, в тому числі шляхом удосконалення КСЗІ.
10 червня 2008 року наказом Адміністрації № 94 був затверджений «Порядок координації діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в ІТС», зареєстрований в Міністерстві юстиції України 7 липня 2008 року за № 603/15294.
Терміни, що використовуються у цьому Порядку, мають таке значення:
- адміністратор безпеки ІТС - посадова особа суб'єкта координації, яка є відповідальною за дотримання політики безпеки інформації в ІТС відповідного суб'єкта координації;
- Координатор - уповноважений структурний підрозділ Адміністрації Держспецзв'язку.
Згідно п.3 Порядку суб'єкти координації у разі виявлення спроби вчинення та/або вчинення несанкціонованих дій вживають заходів щодо:
- блокування, усунення або локалізації їх негативних наслідків власними силами відповідно до Закону України «Про захист інформації в ІТС» та інших нормативно-правових актів у сфері технічного захисту інформації;
- невідкладного (протягом доби) інформування Координатора про несанкціоновані дії, для чого адміністратор безпеки ІТС або особа, яка виконує його обов'язки, надсилає на електронні поштові адреси Координатора відповідне електронне повідомлення, зразок якого наведено у додатку 1;
- збереження (фіксації) ознак несанкціонованих дій, у тому числі на матеріальних носіях інформації;
- захисту державних інформаційних ресурсів відповідно до рекомендацій, наданих Координатором адміністратору безпеки ІТС електронною поштою, телефоном, факсом чи іншим способом;
- надсилання до Адміністрації Держспецзв'язку письмового повідомлення, зразок якого наведено у додатку 2, яке підтверджує надіслане раніше електронне повідомлення протягом 7 (семи) робочих днів з моменту виявлення факту несанкціонованих дій;
- забезпечення у разі необхідності фізичного доступу співробітників Координатора до ІТС для виконання заходів щодо блокування та локалізації негативних наслідків несанкціонованих дій та відновлення працездатності ІТС.
Згідно п.4 Порядку Координатор під час виконання покладених на нього завдань:
- взаємодіє з органами державної влади, провайдерами та операторами телекомунікацій, установами, підприємствами та організаціями усіх форм власності України;
- для організації своєчасного обміну інформацією про несанкціоновані дії використовує веб-сторінку www.cert.gov.ua і електронні поштові адреси cert@cert.gov.ua та cert@dsszzi.gov.ua;
CERT-UA (скор. – Computer Emergency Response Team of Ukraine – команда реагування на комп’ютерні надзвичайні події України) – спеціалізований структурний підрозділ Державного центру захисту інформаційно-телекомунікаційних систем (ДЦЗ ІТС) Держспецзв’язку.
- здійснює міжнародне співробітництво з питань, що належать до компетенції Держспецзв'язку;
- з метою своєчасного запобігання та припинення злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж вживає заходів щодо своєчасного інформування правоохоронних органів України про виявлені суб'єктами координації несанкціоновані дії.
Згідно п.5 Порядку Координатор не має права:
- розголошувати відомості, що стали йому відомі у процесі координації діяльності суб'єктів координації, з питань, пов'язаних із запобіганням вчиненню порушень безпеки інформації в ІТС без погодження з розпорядником інформації (інформаційного ресурсу);
- припиняти або призупиняти функціонування будь-яких ІТС та електронних інформаційних ресурсів.
Згідно п.6 Порядку аналітичні матеріали щодо несанкціонованих дій у відношенні державних інформаційних ресурсів в ІТС суб'єктів координації вносяться до щорічного звіту Голови Держспецзв'язку Президенту, Верховній Раді та Кабінету Міністрів України.
Складовою частиною Національного реєстру електронних інформаційних ресурсів є Реєстр ІТС державних органів (далі - Реєстр), який ведеться згідно «Положення про Реєстр ІТС органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління»,затвердженого постановоюКабінету Міністрів України від 3 серпня 2005 року № 688.
Ведення Реєстру забезпечує Адміністрація Держспецзв'язку згідно «Порядку формування й користування інформаційним фондом Реєстру ІТС органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління», затвердженого наказом Адміністрації Держспецзв'язку від 24 квітня 2007 року № 72, зареєстрованого в Міністерстві юстиції України 14.05.2007 за № 500/13767.
Цей Порядок визначає види та форми надання відомостей до інформаційного фонду Реєстру (далі - Інформаційний фонд) та правила користування ним. Відомості про ІТС подаються ще на стадії технічного проектування систем, а у разі модернізації функціонуючих ІТС - на стадії створення КСЗІ в цих системах. У разі введення в експлуатацію або припинення функціонування ІТС відповідний державний орган у 10-денний строк повідомляє про це адміністратора Реєстру.
Відомості до Інформаційного фонду подаються на оптичних носіях типу CD-R із супровідним листом за підписом керівника державного органу. Після впровадження в державному органі електронно-цифрового підпису зазначені відомості надаються з додержанням вимог чинного законодавства в електронному вигляді мережами передачі даних або надсилаються поштою на електронних носіях інформації. Носії інформації адресату не повертаються.
Державні органи двічі на рік (станом на 1 січня - до 1 лютого та станом на 1 липня - до 1 серпня) надають Адміністратору Реєстру узагальнені відомості про власні ІТС. Надалі в ті ж самі терміни державними органами надсилаються Адміністратору Реєстру відомості лише про ІТС, у яких відбулися зміни з моменту останнього надання інформації про них.