ДЕРЖАВНА АРХІВНА СЛУЖБА УКРАЇНИ
НАКАЗ
20.06.2018 N 43
Про затвердження Положення про службу захисту інформації
в інформаційно-телекомунікаційній системі Укрдержархіву
З метою забезпечення виконання вимог Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", керуючись нормативним документом у сфері технічного захисту інформації НД ТЗІ 1.4-001-2000 "Типове положення про службу захисту інформації в автоматизованій системі" наказую:
1. Затвердити Положення про службу захисту інформації в інформаційно-телекомунікаційній системі Укрдержархіву, що додається.
2. Виконання завдань служби захисту інформації в інформаційно-телекомунікаційній системі структурних підрозділів Укрдержархіву, що розміщуються в адміністративній будівлі за адресою: м. Київ, вул. Солом'янська, 24, покласти на головного спеціаліста відділу взаємодії із державними органами та інформаційно-аналітичного забезпечення Укрдержархіву Приймаченка Ю. О.
3. Контроль за виконанням цього наказу покласти на заступника Голови Укрдержархіву Бондарчука І. В.
Голова Т. І. Баранова
Затверджено
Наказ Державної архівної служби України
20.06.2018 N 43
Положення
про службу захисту інформації в
інформаційно-телекомунікаційній системі Укрдержархіву
1. Загальні положення
1.1. Це Положення визначає організаційно-правові підстави функціонування служби захисту інформації в інформаційно-телекомунікаційній системі структурних підрозділів Укрдержархіву, що розміщуються в адміністративній будівлі за адресою: м. Київ, вул. Солом'янська, 24 (далі - Служба).
1.2. Метою функціонування Служби є організація захисту інформації, що обробляється в інформаційно-телекомунікаційній системі Укрдержархіву (далі - ІТС), та програмного забезпечення, що призначене для обробки цієї інформації, від несанкціонованих дій (блокування, порушення цілісності, знищення), у т. ч., організація заходів кіберзахисту.
1.3. Правову основу для створення і діяльності Служби становлять: Закони України "Про захист інформації в інформаційно-телекомунікаційних системах" та "Про основні засади забезпечення кібербезпеки України";
Указ Президента України від 27.09.99 N 1229/99 "Про затвердження Положення про технічний захист інформації в Україні";
постанова Кабінету Міністрів України від 29.03.2006 N 373 "Про затвердження Правил забезпечення захисту інформації в інформаційно-телекомунікаційних системах".
1.4. Служба у своїй діяльності керується Конституцією України, законами України, указами Президента України, нормативно-правовими актами Кабінету Міністрів України, іншими нормативно-правовими актами з питань захисту інформації, державними і галузевими стандартами, розпорядчими та іншими документами Укрдержархіву, а також цим Положенням.
1.5. Працівники Укрдержархіву, на яких покладається виконання завдань Служби, визначаються наказом Укрдержархіву.
Такі працівники повинні мати вищу освіту у сфері інформаційних технологій або захисту інформації в інформаційно-телекомунікаційних системах.
2. Завдання Служби
Завданнями Служби є:
дослідження технології обробки інформації в ІТС з метою виявлення можливих загроз інформації, формування моделі загроз, розроблення політики безпеки інформації та визначення заходів стосовно її реалізації;
організація та координація робіт, пов'язаних із захистом інформації в ІТС;
підтримка необхідного рівня захищеності інформації, ресурсів і технологій в ІТС шляхом розроблення та впровадження заходів кіберзахисту, забезпечення підтримання належного рівня кібербезпеки;
організація робіт зі створення і експлуатації комплексної системи захисту інформації на всіх етапах життєвого циклу ІТС;
виявлення і реагування на кіберінциденти та кібератаки, усунення їх наслідків;
інформування команди реагування на комп'ютерні надзвичайні події України CERT-UA про інциденти кібербезпеки;
розроблення проектів розпорядчих та методичних документів Укрдержархіву, згідно з якими повинен забезпечуватися захист інформації в ІТС;
організація забезпечення виконання користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів у сфері захисту інформації в ІТС та здійснення контролю за їх виконанням;
організація підвищення обізнаності користувачів ІТС у сфері захисту інформації, з питань безпечного користування відомчою системою електронної пошти та мережею Internet.
3. Функції Служби
3.1. Функції під час створення комплексної системи захисту інформації в ІТС:
визначення переліків відомостей, які підлягають захисту у процесі обробки, інших об'єктів захисту в ІТС, класифікація інформації за вимогами до її важливості, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в ІТС;
розробка та коригування моделі загроз і моделі порушника в ІТС, політики безпеки інформації в ІТС;
моніторинг дотримання користувачами правил політики безпеки інформації в ІТС;
визначення і формування вимог до комплексної системи захисту інформації;
планування, організація і координація робіт з проектування та розробки комплексної системи захисту інформації в ІТС, безпосередня участь у проектних роботах зі створення комплексної системи захисту інформації;
вибір організацій - виконавців робіт зі створення комплексної системи захисту інформації, здійснення контролю за дотриманням встановленого порядку проведення робіт із захисту інформації, погодження основних технічних і розпорядчих документів, що супроводжують процес створення комплексної системи захисту інформації (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт та ін.);
організація і контроль робіт зі створення комплексної системи захисту інформації в ІТС;
організація робіт і участь у випробуваннях комплексної системи захисту інформації, проведенні її експертизи;
розробка розпорядчих документів, що встановлюють правила доступу користувачів до ресурсів ІТС, визначають порядок, норми, правила і вимоги захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій та ін.);
взаємодія з командами реагування на комп'ютерні надзвичайні події державних органів.
3.2. Функції під час експлуатації комплексної системи захисту інформації в ІТС Укрдержархіву:
здійснення управління комплексною системою захисту інформації (далі - КСЗІ);
моніторинг дотримання користувачами правил політики безпеки інформації в ІТС;
розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій;
вжиття заходів у разі виявлення спроб несанкціонованого доступу до ресурсів ІТС Укрдержархіву, порушення правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;
забезпечення контролю цілісності комплексу засобів захисту інформації та швидке реагування у разі виходу з ладу будь-якого з його елементів або порушення режимів функціонування;
організація керування доступом до ресурсів ІТС (розподілення між користувачами необхідних реквізитів захисту інформації - паролів, привілеїв, ключів та ін.);
супроводження і актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об'єктів, ідентифікатори користувачів тощо);
спостереження (реєстрація і аудит подій в ІТС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;
підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в ІТС, впровадження нових технологій захисту інформації;
організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ІТС або КСЗІ;
участь в роботах з модернізації ІТС, узгодження пропозицій з введення до складу ІТС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;
забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування;
проведення аналітичної оцінки поточного стану безпеки інформації в ІТС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз та ін.);
інформування користувачів ІТС про правила безпечної експлуатації ІТС;
негайне втручання в процес роботи ІТС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з викриття порушника;
подання, за необхідності, звітів керівництву Укрдержархіву (відповідно до розподілу функціональних повноважень) про виконання користувачами ІТС вимог із захисту інформації (кіберзахисту);
взаємодія з командами реагування на комп'ютерні надзвичайні події державних органів;
аналіз відомостей щодо засобів захисту інформації нового покоління, обґрунтування пропозицій щодо придбання таких засобів для Укрдержархіву;
контроль за виконанням користувачами ІТС вимог, норм, правил, інструкцій із захисту інформації відповідно до визначеної політики безпеки інформації.
3.3. Функції щодо підвищення рівня обізнаності працівників Укрдержархіву з питань безпечної роботи в ІТС
Організація і проведення занять, інструктажів з користувачами ІТС стосовно дотримання правил:
безпечної роботи з інформаційними ресурсами ІТС;
безпечної роботи у мережі Інтернет;
користування відомчою системою електронної пошти;
застосування електронного цифрового підпису.
4. Повноваження та відповідальність Служби
4.1. Служба зобов'язана:
подавати керівництву Укрдержархіву (відповідно до розподілу функціональних повноважень) звіт за результатами розслідування комп'ютерних інцидентів (кібератак, порушень правил політики безпеки інформації в ІТС), що можуть або призвели до порушення правил доступу до інформації в ІТС, до порушення цілісності та/або доступності інформації в ІТС, порушень функціонування ІТС та веб-порталу Укрдержархіву;
організовувати і забезпечувати виконання організаційно-технічних заходів із захисту інформації та кіберзахисту в ІТС;
вчасно доводити до користувачів ІТС інформацію про зміни в галузі захисту інформації, які їх стосуються;
перевіряти відповідність прийнятих в ІТС правил, інструкцій щодо обробки інформації, здійснювати контроль за виконанням цих вимог;
здійснювати контрольні перевірки стану захищеності інформації в ІТС;
забезпечувати обмежений доступ до відомостей щодо наявності, правил експлуатації та технічного обслуговування засобів захисту інформації, що функціонують в ІТС;
брати безпосередню участь у проведенні контролюючими органами перевірок стану захищеності інформації в ІТС;
надавати керівництву Укрдержархіву (відповідно до розподілу функціональних повноважень) річний звіт про стан захищеності інформації в ІТС і дотримання користувачами ІТС встановленого порядку і правил захисту інформації;
негайно повідомляти керівництво Укрдержархіву про виявлені атаки та викритих порушників;
виконувати інші обов'язки, покладені на Службу, у відповідності зі специфікою та особливостями діяльності ІТС.
4.2. Права Служби
Служба має право:
4.1.1. Здійснювати контроль за дотриманням працівниками структурних підрозділів Укрдержархіву вимог нормативно-правових актів та відомчих розпорядчих документів з питань захисту інформації в ІТС.
4.1.2. Подавати керівництву Укрдержархіву (відповідно до розподілу функціональних повноважень) пропозиції щодо призупинення процесу обробки інформації, зміни режимів обробки, доступу до ІТС окремим працівникам (групі працівників) Укрдержархіву у випадку виявлення порушень політики безпеки інформації або у випадку виникнення реальної загрози порушення безпеки інформації.
4.1.3. Невідкладно припиняти доступ до ІТС та/або мережі Інтернет окремим працівникам (групі працівників) Укрдержархіву у випадку виявлення кіберзагрози, наслідком якої може бути:
знищення інформації в ІТС;
блокування доступу до інформації в ІТС;
блокування/припинення функціонування ІТС.
4.1.4. Складати і подавати керівництву Укрдержархіву (відповідно до розподілу функціональних повноважень) акти щодо виявлених порушень політики безпеки інформації в ІТС, готувати рекомендації щодо усунення подібних випадків у подальшому.
4.1.5. Проводити розслідування, що стосуються компетенції Служби.
4.1.6. Приймати участь у підготовці проектів модернізації апаратного та програмного забезпечення ІТС.
4.1.7. Надавати пропозиції щодо:
переліку дозволеного до використання в Укрдержархіві програмного забезпечення;
порядку надання доступу до інформаційних ресурсів ІТС (правила розмежування прав доступу користувачів) та доступу до мережі Internet;
залучення до виконання робіт із захисту інформації інших організацій;
отримувати доступ до робіт та документів структурних підрозділів Укрдержархіву, необхідних для оцінки вжитих заходів з захисту інформації та підготовки пропозицій щодо їхнього подальшого удосконалення;
готувати пропозиції щодо забезпечення ІТС необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення захисту інформації;
узгоджувати умови включення до складу ІТС нових компонентів та подавати керівництву пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів ІТС;
надавати висновки з питань, що належать до компетенції Служби.
4.3. Відповідальність Служби
4.3.1. Працівники Укрдержархіву, на яких покладається виконання завдань Служби, відповідають за:
додержання вимог нормативних документів, що визначають порядок організації робіт із захисту інформації, інформаційних ресурсів та технологій;
впровадження організаційно-технічних заходів із захисту інформації в ІТС, що належать до компетенції Служби;
якість та правомірність документального оформлення результатів робіт окремих етапів створення КСЗІ та інших заходів;
інші питання персональної відповідальності, які покладені на Службу у відповідності зі специфікою та особливостями діяльності.
5. Організація діяльності Служби
5.1. Планування роботи Служби
Діяльність Служби повинна організовуватися згідно з Планом захисту інформації в ІТС Укрдержархіву, календарного та інших планів робіт, що затверджуються керівництвом Укрдержархіву (відповідно до розподілу функціональних повноважень).
5.1.1. До планів включаться наступні основні заходи:
разові (одноразово виконувані, необхідність у повторенні яких виникає за умови повного перегляду прийнятих рішень із захисту інформації);
постійно виконувані (заходи, що потребують виконання неперервно або дискретно у випадковий чи заданий час);
періодично виконувані (з заданим інтервалом часу);
виконувані за необхідності (заходи, що потребують виконання під час здійснення або виникнення певних змін в ІТС чи зовнішньому середовищі).
5.1.2. Основними видами планів робіт Служби можуть бути:
календарний план робіт (щодо реалізації заходів з проектування, реалізації, оцінювання, впровадження, технічного обслуговування, експлуатації КСЗІ та інших питань);
план заходів з оперативного реагування на непередбачені ситуації (у тому числі надзвичайні та аварійні) та поновлення функціонування ІТС і КСЗІ;
поточний план робіт (на місяць, квартал, рік).
5.2. Повсякденна діяльність Служби
У процесі повсякденної діяльності фахівці Служби мають здійснювати:
5.2.1. Супроводження функціонування створеної КСЗІ в ІТС згідно з техноробочою та експлуатаційною документацією на неї.
5.2.2. Виявлення і реагування на кіберінциденти та кібератаки, усунення їх наслідків.
5.2.3. Інформування команди реагування на комп'ютерні надзвичайні події України CERT-UA про інциденти кібербезпеки.
5.2.4. Контроль дотримання користувачами ІТС вимог захисту інформації.
5.2.5. Коригування моделі загроз і моделі порушника в ІТС, політики безпеки інформації в ІТС на підставі інформації про нові кіберзагрози.
5.2.6. Формування у користувачів розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів з питань захисту інформації.
5.3. Здійснення контролю дотримання правил політики безпеки інформації в ІТС
Контроль за дотриманням правил політики безпеки інформації в ІТС організовується за допомогою доступних організаційних та технічних методів та наявних засобів, а після введення в експлуатацію КСЗІ - програмними засобами контролю та аудиту дій користувачів ІТС шляхом оброблення та аналізу зареєстрованої інформації про критичні з погляду безпеки події.
5.4. Матеріально-технічне забезпечення та фінансування заходів захисту інформації в ІТС
Матеріально-технічну базу Служби складають засоби захисту інформації, програмне забезпечення, технічне і інженерне обладнання, відповідна документація, а також інші засоби і обладнання, що необхідні для виконання Службою покладених на неї завдань.
Засоби захисту інформації, що застосовуються в ІТС, повинні мати документ, що засвідчує їхню відповідність вимогам нормативних документів у сфері технічного захисту інформації.
Фінансування заходів захисту інформації в ІТС здійснюється за рахунок коштів, що виділяються на утримання Укрдержархіву.
5.5. Взаємодія Служби зі структурними підрозділами Укрдержархіву та зовнішніми організаціями
У своїй роботі Служба взаємодіє зі структурними підрозділами Укрдержархіву, іншими державними архівними установами, від яких в тій чи іншій мірі залежить виконання завдань стосовно захисту інформації, а також з державними органами, установами та організаціями, що займаються питаннями захисту інформації (кіберзахисту).
До виконання робіт із захисту інформації можуть залучатися, відповідно до законодавства, сторонні організації, що мають досвід виконання аналогічних робіт та, за необхідності, ліцензії на провадження господарської діяльності у сфері технічного захисту інформації.
Взаємодія з іншими підрозділами організації з питань, що безпосередньо не пов'язані із захистом інформації, Служба здійснює у відповідності з наказами та (або) розпорядженнями Голови Укрдержархіву.
Начальник відділу взаємодії із державними органами та
інформаційно-аналітичного забезпечення К. Г. Сорока