МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАКАЗ
20.03.2017 N 427
Про затвердження календарного плану робіт з захисту інформації
в Єдиній державній електронній базі з питань освіти
Відповідно до статей 5 та 9 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", пункту 3 постанови Кабінету Міністрів України від 13 липня 2011 року N 752 та абзацу першого пункту 4 Положення про Єдину державну електронну базу з питань освіти, затвердженого вищезазначеною постановою, пунктів 17, 19 Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року N 373, підпункту 78 пункту 4 та підпункту 6 пункту 5 Положення про Міністерство освіти і науки України, затвердженого постановою Кабінету Міністрів України від 16 жовтня 2014 року N 630, пункту 10 Плану заходів щодо захисту державних інформаційних ресурсів, затвердженого розпорядженням Кабінету Міністрів України від 05 листопада 2014 року N 1135-р, згідно з вимогами п. п. 5.3, 5.4 ДСТУ 3396.1-96 "Захист інформації. Технічний захист інформації. Порядок проведення робіт" (ДСТУ 3396.1-96), п. 4.2.1 ДСТУ 3396.0-96 "Захист інформації. Технічний захист інформації. Основні положення." (ДСТУ 3396.0-96), п. 12 та п. 7 додатка до НД ТЗІ 1.4-001-2000 "Типового положення про службу захисту інформації в автоматизованій системі" наказую:
1. Затвердити Календарний план робіт з захисту інформації в Єдиній державній електронній базі з питань освіти (далі - ЄДЕБО), що додається.
2. Управлінню адміністративно-господарського та організаційного забезпечення (Єрко І. А.) забезпечити виконання Календарного плану робіт з захисту інформації в ЄДЕБО у частині, що стосується розпорядника ЄДЕБО.
3. Державному підприємству "Інфоресурс" (Бєлік О. М.) забезпечити виконання Календарного плану робіт з захисту інформації в ЄДЕБО у частині, що стосується технічного адміністратора ЄДЕБО.
4. Контроль за виконанням цього наказу покласти на заступника Міністра Гребу Р. В.
Міністр Л. М. Гриневич
Затверджено
Наказ Міністерства
освіти і науки України
20.03.2017 N 427
Календарний план
робіт з захисту інформації в Єдиній державній електронній базі
з питань освіти (ЄДЕБО)
| N з/п |
Захід | Зміст заходу | Відповідальний за виконання | Термін / періодичність виконання | Примітка |
| I. Організаційні заходи | |||||
| 1.1. | Визначення підрозділу (відповідальної особи), на який покладається забезпечення технічного захисту інформації (ТЗІ) та контроль за його станом, узгодження основних завдань та функції цього підрозділу. | Оформлення наказу про визначення структурного підрозділу (призначення відповідальної особи) відповідального за організацію забезпечення ТЗІ та контролю за його станом. Внесення зміни чи доповнень до положення про структурний підрозділ та внесення змін чи доповнень до посадових інструкцій працівників, відповідальних за організацію забезпечення ТЗІ та контролю за його станом. |
Управління адміністративно-господарського та організаційного забезпечення; Технічний адміністратор (ТА) ЄДЕБО. |
До 01.05.2017. | вимоги п. 12 Положення про ТЗІ в Україні1, та п. п. 4.2, 9.1 ДСТУ 3396.1-962 |
| 1.2. | Визначення структурного підрозділу або відповідальної особи, що організовує роботу, пов'язану із захистом персональних даних (ПДн) при їх обробці. | Оформлення наказу про визначення структурного підрозділу (призначення відповідальної особи) відповідального за організацію роботи із захисту ПДн при їх обробці. Внесення зміни чи доповнень до положення про структурний підрозділ та внесення змін чи доповнень до посадових інструкцій працівників, відповідальних за обробку ПДн фізичних осіб та їх захист від незаконної обробки і незаконного доступу до них. |
Управління адміністративно-господарського та організаційного забезпечення; ТА ЄДЕБО. |
До 01.05.2017. | вимоги ч. 2-ї ст. 24 ЗУ "Про захист персональних даних"3 |
| 1.3. | Визначення організації - розробника по модернізації комплексної системи захисту інформації (КСЗІ) інформаційно-телекомунікаційної системи (ІТС) ЄДЕБО. | Проведення у порядку, визначеному законодавством, процедури закупівлі послуг по модернізації КСЗІ ІТС ЄДЕБО. Організацією - розробником КСЗІ ІТС ЄДЕБО може бути суб'єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері ТЗІ, необхідність проведення якого визначено технічним завданням на створення КСЗІ ІТС ЄДЕБО. Забезпечується КСЗІ серверного вузла ІТС ЄДЕБО. |
ТА ЄДЕБО. | До 01.07.2017. | згідно із ЗУ "Про публічні закупівлі"4, відповідно до розпорядження КМУ N 572-р від 13.12.20015, п. 23 Правил, затверджених ПКМУ N 373 від 29.03.20066, п. 5.9 НД ТЗІ 3.7-003-057 |
| 1.4. | Коригування "Політики безпеки інформації в ІТС ЄДЕБО". | Коригування окремих положень. Перегляд Плану проведення відновлювальних робіт і забезпечення неперервного функціонування ІТС ЄДЕБО та Правил розмежування доступу до ІТС ЄДЕБО. Розробка додаткових інструкцій як складових "Політики безпеки інформації в ІТС ЄДЕБО". |
ТА ЄДЕБО; Організація - розробник КСЗІ. |
Встановлюється ТА ЄДЕБО у специфікації порядку надання послуг (Додаток до договору про надання послуг). | вимоги п. 6.2 НД ТЗІ 3.7 003-058, розділу 5 Додатка НД ТЗІ 1.4-001-20008, п. п. А.2.1.3, А.2.1.5, А.2.6 НД ТЗІ 2.6-001-119 |
| 1.5. | Підготовка організаційно-розпорядчої документації. | Проводиться аналіз і затвердження організаційно-розпорядчих документів розпорядника ЄДЕБО та Технічного адміністратора ЄДЕБО: організаційна структура, штатний розклад, положення про відділи й посадові інструкції співробітників, пов'язаних з експлуатацією ІТС-ЄДЕБО, документи, що регламентують доступ до ІТС-ЄДЕБО тощо. Також проводиться аналіз стану виконання нормативно-правових документів в області захисту інформації, до яких належать закони України, постанови Кабінету Міністрів України, загальнообов'язкові або спеціальні накази Державної служби спеціального зв'язку й захисту інформації України (Держспецзв'язку), що встановлюють правила роботи з інформацією. За результатами виконання цього етапу готуються проекти документів, які визначають організаційну складову КСЗІ ІТС ЄДЕБО (проект наказу про створення КСЗІ ІТС ЄДЕБО, проект положення про службу захисту інформації, проекти посадових інструкцій і процедур тощо), які затверджуються розпорядником ЄДЕБО. |
ТА ЄДЕБО; Організація - розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення. |
Встановлюється ТА ЄДЕБО у специфікації порядку надання послуг (Додаток до договору про надання послуг). | вимоги п. п. 6.2, 7.1 НД ТЗІ 1.1-002-9910, п. 6.4.1 НД ТЗІ 3.7-001-9911 |
| 1.6. | Визначення фізичного середовища (місцезнаходження) розміщення серверної частини (дата-центру) ЄДЕБО на момент закінчення терміну дії дійсного Атестату відповідності КСЗІ ІТС ЄДЕБО. | Планування певним чином територій, зовнішніх майданчиків (анклавів), будівель, приміщень, зі встановленими інженерними системами забезпечення та обслуговуючим персоналом, що утворюють загальний фізичний простір і технологічне середовище для розміщення комп'ютерів, електронних та інших засобів прийому, передачі, обробки, зберігання інформації і забезпечують задану ступінь доступності (готовності), розміщеного обладнання в заданому режимі функціонування. | Управління з питань державного майна та підприємств. | До 01.09.2017. | вимоги п. 6.1.2.6 НД ТЗІ 3.7-003-058, ДБН А.2.2-2-9612, ДБН А.2.2-3-201413 |
| 1.7. | Призначення комісії з категоріювання та обстеження об'єктів, в яких циркулює інформація, яка підлягає захисту. | Категоріювання об'єктів проводиться комісією з категоріювання розпорядника ІТС ЄДЕБО. Оформлення наказу про створення комісії з категоріювання розпорядника ІТС ЄДЕБО за підписом заступника Міністра. |
Заступник Міністра Греба Р. В. | До 01.09.2017. | вимоги п. 4.2 ДСТУ 3396.1-962 та НД ТЗІ 1.6-005-201314 |
| 1.8. | Обстеження інформаційної інфраструктури ТА ЄДЕБО. | Оцінюється стан інформаційної безпеки в ІТС ЄДЕБО і виявляються існуючі проблеми у цій сфері. Фахівці проводять обстеження (аудит) ІТС ЄДЕБО. Аналізується архітектура системи, її топологія й складові елементи. Визначаються типи користувачів системи, типізується інформація, оброблювана в ІТС ЄДЕБО. За результатами виконання етапу розробляються наступні документи: - акт обстеження ІТС ЄДЕБО (містить опис, принципи побудови й архітектуру ІТС ЄДЕБО); - перелік об'єктів ІТС ЄДЕБО, що потребують захисту, які затверджуються розпорядником ЄДЕБО. |
ТА ЄДЕБО; Організація - розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення. |
Встановлюється ТА ЄДЕБО у специфікації порядку надання послуг (Додаток до договору про надання послуг). | вимоги розділу 4 ДСТУ 3396.1-962, п. 5.11 НД ТЗІ 3.7 003-058, п. А.2.1.4 НД ТЗІ 2.6-001-1110 |
| 1.9. | Визначення переліку відомостей, які підлягають захисту в процесі обробки інформації в ІТС ЄДЕБО, інших об'єктів захисту в автоматизованих системах, що підключені до ЄДЕБО. | У переліку інформації, що підлягає автоматизованому обробленню в ІТС ЄДЕБО та потребує захисту, має бути наведено перелік інформаційних ресурсів (видів інформації), що підлягають обробленню в ІТС ЄДЕБО, класифікований за відповідними ознаками. | ТА ЄДЕБО; Організація - розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення; Департамент вищої освіти; Департамент професійної освіти; Департамент атестації кадрів вищої кваліфікації та ліцензування. |
Встановлюється ТА ЄДЕБО у специфікації порядку надання послуг (Додаток до договору про надання послуг). | вимоги ч. 1-ої ст. 5 Закону України "Про захист персональних даних"3, п. 8.1 НД ТЗІ 1.4-001-20009, п. 6.1.2.5 НД ТЗІ 3.7-003-058, п. А.2.1.1 НД ТЗІ 2.6-001-1110 |
| 1.10. | Проведення чергового категоріювання та обстеження об'єктів, в яких циркулює інформація з обмеженим доступом (інформація, яка підлягає захисту), з документальним оформленням. | Комісія з категоріювання визначає ступень обмеження доступу до інформації, яка оброблятиметься технічними засобами та/або озвучуватиметься на об'єкті, та з урахуванням цього ступеня встановлює категорію об'єкта. Встановлена категорія зазначається в Акті категоріювання об'єкта, який складається комісією з категоріювання за результатами її роботи. | Комісія, створена відповідно до п. 1.7 цього Календарного плану. | До 01.09.2017. | вимоги п. п. 4.1 - 4.4 ДСТУ 3396.1-962, НД ТЗІ 1.6-005-201315 та п. 6.1.2 НД ТЗІ 3.7-003-058, п. А.2.1.2 НД ТЗІ 2.6-001-1110 |
| 1.11. | Розробка "Плану захисту інформації в ІТС ЄДЕБО". | За результатами виконання другого етапу, а саме, ґрунтуючись на переліку об'єктів ІТС ЄДЕБО, що потребують захисту, розробляється пакет документів "План захисту інформації в ІТС ЄДЕБО": - документ "Модель загроз інформації в ІТС ЄДЕБО"; - документ "Модель порушника в ІТС ЄДЕБО"; - документ "Завдання на створення КСЗІ ІТС ЄДЕБО"; - документ "Політика безпеки інформації в ІТС ЄДЕБО", які затверджуються розпорядником ЄДЕБО; - документ "Звіт за результатами проведення аналізу ризиків та формування завдань на створення КСЗІ ІТС ЄДЕБО". |
ТА ЄДЕБО; Організація - розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення. |
Після завершення обстеження середовищ функціонування ІТС ЄДЕБО. | вимоги п. 19 Правил, затверджених ПКМУ N 373 від 29.03.2006.7, п. п. 4.5, 5.3 ДСТУ 3396.1-962, п. 8.1 та Додаток НД ТЗІ 1.4-001-20009, п. 6.1.2.9 НД ТЗІ 3.7-003-058, НД ТЗІ 1.6-003-0415, п. А.2.1.6 - А.2.1.8 НД ТЗІ 2.6-001-1110 |
| 1.12. | Перегляд "Плану захисту інформації в ІТС ЄДЕБО". | Розробка нових підходів до планування заходів захисту. | ТА ЄДЕБО; Управління адміністративно-господарського та організаційного забезпечення. |
Щорічно. | вимоги Додатка НД ТЗІ 1.4-001-20009 |
| 1.13. | Розробка "Технічного завдання на модернізацію КСЗІ ІТС ЄДЕБО". | На цьому етапі забезпечується відпрацювання Організацією - розробником КСЗІ і погоджується проект Технічного завдання на створення КСЗІ ІТС ЄДЕБО, що визначає всі основні вимоги до КСЗІ ІТС ЄДЕБО й можливі шляхи реалізації її складових елементів. Після погодження проекту Технічного завдання на створення КСЗІ ІТС ЄДЕБО з спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації (Держспецзв'язку), документ затверджується розпорядником ЄДЕБО та погоджується ТА ЄДЕБО. | ТА ЄДЕБО; Організація - розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення. |
Встановлюється ТА ЄДЕБО у специфікації порядку надання послуг (Додаток до договору про надання послуг). | вимоги п. п. 5.1, 5.2 ДСТУ 3396.1-962, п. 6.2 НД ТЗІ 3.7-003-058, НД ТЗІ 3.7-001-9910, п. А.2.1.10 НД ТЗІ 2.6-001-1110 |
| 1.14. | Розробка "Техноробочого проекту на створення КСЗІ ІТС ЄДЕБО". | Після узгодження Технічного завдання на створення КСЗІ ІТС ЄДЕБО з Держспецзв'язком забезпечується відпрацювання Організацією - розробником КСЗІ пакета документів "Техноробочий проект на створення КСЗІ ІТС ЄДЕБО". "Техноробочий проект КСЗІ ІТС ЄДЕБО" розробляється на підставі та у відповідності до ТЗ на створення КСЗІ ІТС ЄДЕБО. "Техноробочий проект на створення КСЗІ ІТС ЄДЕБО" являє собою комплект документів, у який входить частина документів, розроблених на попередніх етапах, і ряд нових документів, у яких описано, як саме буде створюватися, експлуатуватися й, якщо буде потреба, модернізуватися КСЗІ ІТС ЄДЕБО. | ТА ЄДЕБО; Організація - розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення. |
Після погодження ТЗ з Держспецзв'язку; Встановлюється ТА ЄДЕБО у специфікації порядку надання послуг (Додаток до договору про надання послуг). | Згідно п. 6.4 НД ТЗІ 3.7-003-058, п. А.2.2 НД ТЗІ 2.6-001-1110 і НД ТЗІ 2.5-004-9916 |
| 1.15. | Приведення інформаційної інфраструктури у відповідність із "Техноробочим проектом на створення КСЗІ ІТС ЄДЕБО". | Монтажні, будівельні, пусконалагоджувальні роботи, роботи, пов'язані з установленням необхідних технічних або криптографічних засобів захисту інформації, засобів фізичного захисту елементів ІТС ЄДЕБО (встановлюється необхідне обладнання й програмне забезпечення, засоби контролю доступу, охоронна й пожежна сигналізації) тощо. | ТА ЄДЕБО; Управління адміністративно-господарського та організаційного забезпечення. |
Встановлюється ТА ЄДЕБО у специфікації порядку надання послуг (Додаток до договору про надання послуг). | |
| 1.16. | Розробка "Експлуатаційної документації на КСЗІ ІТС ЄДЕБО". | Створення пакета документів "Експлуатаційна документація на КСЗІ ІТС ЄДЕБО", що включає: - інструкції експлуатації КСЗІ і її елементів; - процедури регламентного обслуговування КСЗІ; - правила й положення по проведенню тестування й аналізу роботи КСЗІ; - опис процедур безпечної інсталяції, генерації та запуску; - опис послуг безпеки, що реалізуються відповідним компонентом; - настанови адміністратору з послуг безпеки; настанови користувачу з послуг безпеки. |
ТА ЄДЕБО; Організація-розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення. |
Встановлюється ТА ЄДЕБО у специфікації порядку надання послуг (Додаток до договору про надання послуг). | вимоги п. А.2.5 НД ТЗІ 2.6-001-1110 і НД ТЗІ 2.5-004-9917 |
| 1.17. | Розробка "Нормативно-розпорядчої документації КСЗІ ІТС ЄДЕБО". | Створення пакета документів "Нормативно-розпорядчої документації КСЗІ ІТС ЄДЕБО", що включає: - інструкції щодо забезпечення правил оброблення інформації з обмеженим доступом в ІТС ЄДЕБО; - посадові (функціональні) інструкції співробітників служби захисту інформації ІТС ЄДЕБО, персоналу та користувачів ІТС ЄДЕБО; - технологічні (операційні) інструкції (настанови) щодо виконання завдань з адміністрування та обслуговування КСЗІ ІТС ЄДЕБО; - інструкції про порядок використання засобів КЗІ. |
ТА ЄДЕБО; Організація - розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення. |
Встановлюється ТА ЄДЕБО у специфікації порядку надання послуг (Додаток до договору про надання послуг). | вимоги п. А.2.6 НД ТЗІ 2.6-001-1110 |
| 1.18. | Впровадження КСЗІ ІТС ЄДЕБО. | На цьому етапі проводяться всі пусконалагоджувальні роботи, навчання й інструктаж персоналу підприємства правилам і режимам експлуатації КСЗІ. Після реалізації цього етапу впроваджена КСЗІ готова до наступного випробування. | ТА ЄДЕБО; Організація - розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення. |
Під час пусконалагоджувальних робіт. | п. 6.5.5 НД ТЗІ 3.7-003-058 |
| 1.19. | Пусконалагоджувальні роботи. | Встановлення і налагодження комплексу засобів захисту, перевірка працездатності засобів захисту інформації в автономному режимі та при їх комплексній взаємодії. | ТА ЄДЕБО; Організація - розробник КСЗІ. |
Після затвердження проекту КСЗІ ІТС ЄДЕБО. | п. 6.5.5.1 НД ТЗІ 3.7-003-058 |
| 1.20. | Призначення комісії для проведення попередніх випробувань та для приймання КСЗІ ІТС ЄДЕБО в дослідну експлуатацію. | Для проведення попередніх випробувань та для приймання КСЗІ ІТС ЄДЕБО категоріювання розпорядником ІТС ЄДЕБО створюється комісія. Оформлення наказу про створення комісії для проведення попередніх випробувань та для приймання КСЗІ ІТС ЄДЕБО в дослідну експлуатацію за підписом заступника Міністра. | Заступник Міністра Треба Р. В. | До початку проведення попередніх випробувань. | п. 6.5.6.3 НД ТЗІ 3.7-003-058 |
| 1.21. | Попередні випробування КСЗІ ІТС ЄДЕБО. | На цьому етапі проводяться попередні випробування КСЗІ, з метою підтвердження результативності її роботи й відповідності положенням, визначеним в Технічному завданні на створення КСЗІ. У процесі випробувань виконуються тестові завдання й контролюються отримані результати, які і є індикатором працездатності спроектованої КСЗІ. Згідно з ДСТУ 2853-9417 і Програмою та методикою попередніх випробувань КСЗІ в ІТС ЄДЕБО. |
Комісія, створена відповідно до п. 1.20 цього Календарного плану. | Після пусконалагоджувальних робіт КСЗІ ІТС ЄДЕБО. | п. 6.5.6 НД ТЗІ 3.7-003-058, п. А.2.7 НД ТЗІ 2.6-001-1110 |
| 1.22. | Дослідна експлуатація КСЗІ ІТС ЄДЕБО. | Дослідну експлуатацію організовує та проводить розпорядник ЄДЕБО. Відпрацювання технологічних процесів в ІТС ЄДЕБО, проведення навчання персоналу. Відпрацювання організаційно-розпорядчої документації КСЗІ ІТС ЄДЕБО: - Акт про приймання КСЗІ в ІТС ЄДЕБО у дослідну експлуатацію; - Акт завершення дослідної експлуатації КСЗІ в ІТС ЄДЕБО; - Акт завершення робіт зі створення КСЗІ в ІТС ЄДЕБО. За результатами робіт робиться висновок щодо можливості подання КСЗІ на державну експертизу. |
ТА ЄДЕБО; Організація - розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення. |
Після завершення попередніх випробувань. | п. 6.5.7 НД ТЗІ 3.7-003-058, п. п. А.2.5.8 і А.2.9 НД ТЗІ 2.6-001-1110 |
| 1.23. | Розробка "Супровідної документації КСЗІ ІТС ЄДЕБО". | До складу супровідної документації КСЗІ повинні входити: Формуляр ІТС ЄДЕБО; реєстраційні журнали, використовувані для реєстрації фактів та результатів виконання певних завдань з адміністрування та обслуговування КСЗІ ІТС ЄДЕБО. |
ТА ЄДЕБО; Організація - розробник КСЗІ; Управління адміністративно-господарського та організаційного забезпечення. |
Встановлюється ТА ЄДЕБО у специфікації порядку надання послуг (Додаток до договору про надання послуг). | вимоги п. А.2.9 НД ТЗІ 2.6-001-1110 |
| 1.24. | Визначення Організатора (організації-виконавця) Державної експертизи КСЗІ в ІТС ЄДЕБО. | Проведення у порядку, визначеному законодавством, процедури закупівлі послуг з проведення державної експертизи КСЗІ серверного вузла ІТС ЄДЕБО та отримання експертного висновку Адміністрації Державної служби спеціального зв'язку та захисту інформації України. Мета проведення Експертизи КСЗІ в ІТС ЄДЕБО полягає у дослідженні, перевірці, аналізі та оцінці КСЗІ в ІТС ЄДЕБО щодо можливості її використання для забезпечення технічного захисту інформації в ІТС ЄДЕБО. |
ТА ЄДЕБО. | До 01.12.2017. | вимога п. 1.4 Положення про Державну експертизу в сфері технічного захисту інформації18 |
| 1.25. | Проведення чергової державної експертизи КСЗІ ІТС ЄДЕБО й одержання Атестата відповідності. | Згідно з Програмою та методикою експертних випробувань. Державна експертиза КСЗІ в ІТС ЄДЕБО проводиться відповідно до вимог Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Держспецзв'язку України від 16.05.2007 N 93.18 | ТА ЄДЕБО; Організація - розробник КСЗІ; Організатор (організація-виконавець) Державної експертизи, призначений Держспецзв'язку; Управління адміністративно-господарського та організаційного забезпечення. |
До квітня 2018 року. | згідно вимог НД ТЗІ 2.6-001-1110, п. 6.5.8 НД ТЗІ 3.7-003-058 |
| 1.26. | Введення в промислову експлуатацію. | Згідно з Інструкцією про порядок введення в експлуатацію КСЗІ ІТС ЄДЕБО в частині забезпечення захисту інформації. | ТА ЄДЕБО; Управління адміністративно-господарського та організаційного забезпечення. |
Після отримання Атестату відповідності КСЗІ ІТС ЄДЕБО та не пізніше 01.05.2018. | |
| 1.27. | Супровід КСЗІ ІТС ЄДЕБО. | Гарантійне обслуговування | ТА ЄДЕБО; Організація - розробник КСЗІ ІТС ЄДЕБО. |
Гарантійний термін. | |
| 1.28. | Технічне обслуговування ІТС ЄДЕБО. | Згідно з Інструкцією про порядок проведення ремонтних робіт. | ТА ЄДЕБО. | Згідно з термінами регламенту. | |
| 1.29. | Резервування бази даних. | Згідно з Інструкцією про порядок резервування та відновлення інформації в ІТС ЄДЕБО. | ТА ЄДЕБО. | Згідно з термінами регламенту. | |
| 1.30. | Поновлення антивірусних баз. | Згідно з Інструкцією про порядок забезпечення антивірусного захисту в ІТС ЄДЕБО. | ТА ЄДЕБО. | Щодня. | |
| 1.31. | Перевірка магнітних носіїв інформації (МНІ) і компонентів ІТС ЄДЕБО на наявність вірусів. | Згідно з Інструкцією про порядок забезпечення антивірусного захисту в ІТС ЄДЕБО. | Адміністратори ІТС ТА ЄДЕБО.. | Щотижня. | |
| Користувачі МНІ ТА ЄДЕБО | Щодня. | ||||
| 1.32. | Реєстрація МНІ і користувачів ІТС ЄДЕБО. | Заведення журналів обліку Реєстрація користувачів і МНІ в системі та журналах. Згідно з Інструкцією про порядок реєстрації користувачів ІТС ЄДЕБО. |
ТА ЄДЕБО. | Після наказу про введення ІТС ЄДЕБО в експлуатацію. | |
| 1.33. | Підтримка й обслуговування КСЗІ ІТС ЄДЕБО. | Виконуються роботи з організаційного забезпечення функціонування КСЗІ ІТС ЄДЕБО та управління засобами захисту інформації відповідно до Плану захисту та експлуатаційної документації на компоненти КСЗІ ІТС ЄДЕБО, гарантійному і післягарантійному технічному обслуговуванню засобів захисту інформації. Згідно з Інструкцією про порядок оперативного відновлення функціонування ІТС ЄДЕБО. |
ТА ЄДЕБО. | Постійно. | п. 6.6 НД ТЗІ 3.7-003-058 |
| 1.34. | Модернізація КСЗІ ІТС ЄДЕБО. | Заміна (додавання) окремих компонентів КСЗІ ІТС ЄДЕБО згідно з Інструкцією про порядок модернізації КСЗІ ІТС ЄДЕБО та Інструкцією про порядок розроблення, впровадження та модернізації програмного забезпечення ІТС ЄДЕБО. | ТА ЄДЕБО; Організація - розробник КСЗІ. |
Згідно з планом розвитку та вдосконалення КСЗІ ІТС ЄДЕБО. | вимоги п. 5.1 НД ТЗІ 3.7-001-9912 |
| II. Організаційні заходи щодо побудови та впровадження типових модулів КСЗІ ЄДЕБО | |||||
| 2.1. | Опрацювання проекту наказу Міністерства освіти і науки України "Про створення типових модулів комплексної системи захисту інформації Єдиної державної електронної бази з питань освіти" (з додатками). | Реалізація побудови КСЗІ ІТС ЄДЕБО за компонентним принципом у відповідності до типових організаційно-технічних рішень, що отримають експертні висновки Держспецзв'язку встановленим порядком, дасть змогу створити КСЗІ ІТС установам, організаціям, підприємствам, що ними володіють (їх використовують) без організації та здійснення комплексу робіт по розробленню технічної, нормативно-розпорядчої документації та проведення Державної експертизи в сфері технічного захисту інформації, що значною мірою економить витрати і дає змогу забезпечити виконання законодавства за визначеним напрямком. | ТА ЄДЕБО; Управління адміністративно-господарського та організаційного забезпечення. | До 01.06.2017. | вимоги п. 4.2 Технічних вимог до апаратного та програмного забезпечення ЄДЕБО19 |
| 2.2. | Координація робіт з побудови та впровадження КСЗІ компонентів ЄДЕБО. | Надання консультацій та роз'яснень з питань побудови, впровадження та підтримання комплексної системи захисту інформації в належному стані | ТА ЄДЕБО; Управління адміністративно-господарського та організаційного забезпечення. |
До 01.05.2018. | |
| 2.3. | Координація робіт із відновлення системного, прикладного та функціонального програмного забезпечення. | Надання консультаційної допомоги при відновленні працездатності комплексу засобів захисту інформації в разі збоїв чи неправильного функціонування | ТА ЄДЕБО; Управління адміністративно-господарського та організаційного забезпечення. |
Постійно. | |
| 2.4. | Узагальнення результатів виконання затверджених заходів і робіт із захисту інформаційних ресурсів. | Ведення статистичної звітності щодо виявлених інцидентів порушення вимог Політики безпеки КСЗІ ІТС ЄДЕБО з подальшим їх аналізом та врахуванням при перегляді Плану захисту інформації. Згідно з Інструкція про організацію контролю за функціонуванням КСЗІ ІТС ЄДЕБО. |
ТА ЄДЕБО; Управління адміністративно-господарського та організаційного забезпечення. |
Постійно. | |
_________________
1 Положення про технічний захист інформації в Україні, затверджено Указом Президента України від 27.09.99 N 1229. URL.: http://zakon0.rada.aov.ua/laws/show/1229/99
2 ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт. URL:http://www.dsszzi.qov.ua/dsszzi/control/uk/publish/article?art_id=38911&cat id=38836
3 Закон України "Про захист персональних даних" (із змінами) від 01.06.2010 N 2297-VI. URL:http://zakon0.rada.gov.ua/laws/show/2297-17/paqe
4 Закон України "Про публічні закупівлі" (із змінами) від 25.12.2015 N 922-VIII. URL:http://zakon2.rada.gov.ua/laws/show/922-19/paqe
5 Розпорядження Кабінету Міністрів України N 572-р від 13.12.2001 "Про фінансування заходів щодо криптографічного та технічного захисту інформації, охорона якої забезпечується державою відповідно до законодавства". URL:http://zakon2.rada.gov.ua/laws/show/572-2001-p
6 Постанова Кабінету Міністрів України N 373 від 29.03.2006 "Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах". URL:http//zakon2.rada.gov.ua/laws/show/373-2006-%D0%BF
7 НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі. URL: http://dstszi.kmu.gov.ua/dstszi/doccatalog/document?id=106350
8 НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі. URL:http://dstszi.kmu.gov.ua/dstszi/doccatalog/document?id=106341
9 НД ТЗІ 2.6-001-11 Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах. URL: http://dstszi.kmu.gov.ua/dstszi/doccatalog/document?id=106345
10 НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. URL: http://dstszi.kmu.gov.ua/dstszi/doccatalog/document?id=106340
11 НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі (Зі зміною N 1). URL:http://dstszi.kmu.gov.ua/dstszi/doccatalog/document?id=1=106349
12 ДБН А.2.2-2-96 Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та проектної документації для будівництва. URL: http://www.stroynote.com.ua/load-document/71/
13 ДБН А.2.2-3:2014 Склад та зміст проектної документації на будівництво. URL:http://teplodim.info/upload/blocks/dbn-a-2-2-3-2014_pdf_1435062567.pdf
14 НД ТЗІ 1.6-005-2013 "Захист інформації на об'єктах інформаційної діяльності. Положення про категоріювання об'єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці", затверджений наказом Адміністрації Держспецзв'язку від 15.04.2013 N 215. URL:http://dstszi.kmu.gov.ua/dstszi/control/uk/publish/article?showHidden=1&art_id=107993&cat_id=89734&ctime=1366373635138
15 НД ТЗІ 1.6-003-04 Створення комплексів технічного захисту інформації на об'єктах інформаційної діяльності. Правила розроблення, побудови, викладення та оформлення моделі загроз для інформації.
16 НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу. URL: http://dstszi.kmu.gov.ua/dstszi/doccatalog/document?id=106342
17 ДСТУ 2853-94 Програмні засоби ЕОМ. Підготовлення і проведення випробувань
18 Положення про державну експертизу в сфері технічного захисту інформації. Наказ Адміністрації Держспецзв'язку від 16.05.2007 N 93, зареєстрований в Міністерстві юстиції України 16.07.2007 за N 820/14087, із змінами, затвердженими наказом Адміністрації Держспецзв'язку від 10.10.2012 N 567, зареєстрованим в Міністерстві юстиції України 06.11.2012 за N 1863/22175. URL:http://zakon2.rada.gov.ua/laws/show/z0820-07
19 Технічні вимоги до апаратного та програмного забезпечення Єдиної державної електронної бази з питань освіти, затверджені наказом Міністерства освіти і науки України від 06.12.2016 N 1461 "Деякі питання визначення технічних вимог до апаратного та програмного забезпечення Єдиної державної електронної бази з питань освіти. URL: http://old.mon.gov.ua/files/normative/2016-12-13/6558/nmo-1461-1.pdf
Начальник Управління адміністративно-господарського та
організаційного забезпечення І. А. Єрко