ДЕРЖАВНА АРХІВНА СЛУЖБА УКРАЇНИ
НАКАЗ
26.10.2017 N 81
Про затвердження Положення про службу захисту інформації
в інформаційно-телекомунікаційній системі "АІС СФДУ"
З метою забезпечення виконання вимог Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" та НД ТЗІ 1.4-001-2000 "Типове положення про службу захисту інформації в автоматизованій системі" наказую:
1. Затвердити Положення про службу захисту інформації в інформаційно-телекомунікаційній системі "АІС СФДУ", що додається.
2. Скасувати наказ Державної архівної служби України від 17.02.2012 N 1/дск "Про затвердження Положення про службу захисту інформації в інформаційно-телекомунікаційній системі "АІС СФДУ".
3. Контроль за виконанням цього наказу залишаю за собою.
Голова Т. І. Баранова
Затверджено
Наказ Державної архівної служби України
26 жовтня 2017 року N 81
Положення
про службу захисту інформації
в інформаційно-телекомунікаційній системі "АІС СФДУ"
1. Загальні положення
1.1. Це Положення розроблено на виконання вимог Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", Правил забезпечення захисту інформації в інформаційних телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29.03.2006 N 373, Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах, затвердженого постановою Кабінету Міністрів України від 16.02.98 N 180.
1.2. Положення визначає завдання, функції, структуру служби захисту інформації в інтегрованій інформаційно-телекомунікаційній системі (далі - ІТС) "АІС СФДУ", функціональні обов'язки, повноваження та відповідальність фахівців служби, взаємодію з підрозділами Державної архівної служби України (далі - Укрдержархів), спеціальних установ страхового фонду документації, інформаційні системи яких є складовими ІТС "АІС СФДУ" (далі - установи СФД), та іншими підприємствами, установами і організаціями.
1.3. Служба захисту інформації в ІТС "АІС СФДУ" (далі - СЗІ) є позаштатним підрозділом Укрдержархіву. До складу СЗІ входять фахівці департаменту страхового фонду документації Укрдержархіву, а також фахівці установ СФД. Структура, функціональні обов'язки та персональний склад СЗІ визначається наказом Укрдержархіву, за поданням директора департаменту страхового фонду документації Укрдержархіву. СЗІ безпосередньо підпорядкована директору департаменту страхового фонду документації Укрдержархіву.
1.4. Метою створення СЗІ є забезпечення виконання вимог, що ставляться до захисту інформації в ІТС, проектування, розроблення і модернізації системи захисту, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації, виконання завдань керування комплексною системою захисту інформації (далі - КСЗІ) в ІТС та здійснення контролю за її функціонуванням.
1.5. СЗІ у своїй діяльності керується Конституцією України, законами України, актами Президента України і Кабінету Міністрів України, іншими нормативно-правовими актами з питань захисту інформації, державними і галузевими стандартами, розпорядчими та іншими документами, а також цим Положенням.
СЗІ здійснює діяльність відповідно до Плану захисту інформації в ІТС, календарних, перспективних та інших планів робіт, наказів Укрдержархіву.
Для проведення заходів щодо захисту інформації в ІТС, які пов'язані з напрямом діяльності підрозділів установ СФД, рішенням комісії з питань ТЗІ Укрдержархіву визначаються перелік робіт, строки виконання, підрозділи або особи, відповідальні за їх виконання.
1.6 У своїй роботі СЗІ взаємодіє зі структурними підрозділами Укрдержархіву та установ СФД, а також з державними органами, установами та організаціями, які займаються питаннями захисту інформації в ІТС.
У разі потреби до виконання робіт можуть залучатися інші організації, що мають ліцензії на провадження певного виду господарської діяльності у сфері технічного захисту інформації, а також фахівці організацій, яким в установленому порядку надано допуск до робіт, пов'язаних з державною таємницею.
2. Завдання служби захисту інформації
Завданнями СЗІ є:
організація та координація робіт, пов'язаних із захистом інформації в ІТС, необхідність захисту якої визначається чинним законодавством, та підтримка необхідного рівня захищеності інформації, ресурсів і технологій;
забезпечення в ІТС безпеки інформації структурних підрозділів Укрдержархіву та установ СФД в процесі інформаційної діяльності, взаємодії між ними, а також у взаємовідносинах з іншими організаціями;
формування та реалізація політики безпеки інформації, здійснення заходів із забезпечення кібербезпеки, кіберзахисту та безпеки інформаційних технологій в ІТС;
дослідження технології обробки інформації та інших загроз для безпеки інформації, участь у формуванні моделі загроз;
розроблення проектів організаційно-розпорядчих документів, згідно з якими повинен забезпечуватися захист інформації в ІТС;
організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу ІТС;
організація заходів, спрямованих на безумовне виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і організаційно-розпорядчих документів із захисту інформації в ІТС та проведення контрольних перевірок їх виконання;
участь в організації професійної підготовки і підвищення кваліфікації персоналу та користувачів ІТС з питань захисту інформації.
3. Функції служби захисту інформації
3.1. Функції під час створення комплексної системи захисту інформації:
визначення переліків відомостей, які піддягають захисту в процесі обробки їх в ІТС, інших об'єктів захисту в ІТС, відповідно до класифікації інформації за вимогами до її конфіденційності або важливості, визначення необхідних рівнів захищеності інформації в ІТС, визначення порядку введення (виведення), використання та розпорядження інформацією в ІТС;
розробка та коригування моделі загроз і плану захисту інформації в ІТС, політики безпеки інформації в ІТС;
визначення і формування вимог до КСЗІ;
організація і координація робіт з проектування та розробки КСЗІ;
попередження спроб несанкціонованого доступу до інформації та надання технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та під час створення КСЗІ;
організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи;
у взаємодії з режимно-секретними органами (далі - РСО) Укрдержархіву та установ СФД, надання пропозицій щодо вибору організацій - виконавців робіт зі створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт щодо захисту інформації в ІТС, погодження основних технічних і організаційно-розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани, моделі та ін.);
участь у розробці організаційно-розпорядчих документів, які встановлюють дисциплінарну відповідальність за порушення вимог з безпеки інформації в ІТС та встановлених правил експлуатації КСЗІ;
участь у розробці організаційно-розпорядчих документів (проектів наказів, інструкцій, положень, рекомендацій та ін.), які встановлюють правила доступу користувачів до ресурсів ІТС, визначають порядок, норми, правила щодо захисту інформації та здійснення контролю за їх дотриманням.
3.2. Функції під час експлуатації комплексної системи захисту інформації:
організація процесу керування КСЗІ;
розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, проведення аналізу причин, що призвели до них, супроводження банку даних таких подій;
вжиття заходів у разі виявлення спроб несанкціонованого доступу до ресурсів ІТС, при порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;
забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;
організація керування доступом до ресурсів ІТС, тобто розподілення між користувачами необхідних реквізитів захисту інформації (паролів, привілеїв, засобів зберігання даних автентифікації та ін.);
реалізація комплексу заходів щодо спостереження за функціонуванням КСЗІ та її компонентів (реєстрація і аудит подій в ІТС, моніторинг подій тощо);
супроводження і актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об'єктів, засоби зберігання даних автентифікації тощо);
підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в ІТС, впровадження нових технологій захисту і модернізації КСЗІ;
організація та виконання заходів щодо модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ІТС або КСЗІ;
участь в роботах з модернізації ІТС, узгодженні пропозицій щодо введення до складу ІТС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;
забезпечення зберігання, супроводження і актуалізації еталонних, архівних і резервних копій програмного забезпечення, програмних компонентів КСЗІ, їх тестування;
проведення аналітичної оцінки поточного стану безпеки інформації в ІТС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз та ін.);
інформування власників інформації про технічні можливості захисту інформації в ІТС і типові правила, встановлені для персоналу і користувачів ІТС;
негайне втручання в процес роботи ІТС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з викриття порушника;
регулярне подання звітів керівництву Укрдержархіву про виконання користувачами ІТС вимог щодо захисту інформації;
аналіз відомостей щодо технічних засобів захисту інформації в ІТС нового покоління, обґрунтування пропозицій щодо придбання цих засобів;
контроль за виконанням персоналом і користувачами ІТС вимог, норм, правил, інструкцій щодо захисту інформації відповідно до визначеної політики безпеки інформації, у тому числі контроль за забезпеченням режиму секретності під час обробки в ІТС інформації, що становить державну таємницю;
формування та реалізація політики безпеки інформації, здійснення заходів із забезпечення кібербезпеки, кіберзахисту та безпеки інформаційних технологій в ІТС;
контроль за забезпеченням охорони і порядку зберігання електронних носіїв інформації, які містять відомості, що підлягають захисту;
розробка і реалізація спільно з РСО комплексних заходів щодо безпеки інформації під час проведення заходів з науково-технічного, економічного, інформаційного співробітництва, а також під час проведення нарад, переговорів та ін.
3.3. Функції з організації навчання персоналу з питань забезпечення захисту інформації:
розроблення планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу ІТС;
розроблення спеціальних програм навчання, які б враховували особливості технології обробки інформації в ІТС, необхідний рівень її захищеності та ін.;
участь в організації і проведенні навчання користувачів і персоналу ІТС правилам роботи з КСЗІ, захищеними технологіями, захищеними ресурсами;
взаємодія з державними органами, навчальними закладами, іншими організаціями з питань навчання та підвищення кваліфікації;
участь в організації забезпечення навчального процесу необхідною матеріальною базою, навчальними посібниками, нормативно-правовими актами, нормативними документами, методичною літературою та ін.
4. Повноваження та відповідальність служби захисту інформації
4.1. Права
СЗІ має право:
здійснювати контроль за діяльністю підрозділів Укрдержархіву та установ СФД, співробітники яких є користувачами ІТС, щодо виконання ними вимог нормативно-правових актів і організаційно-розпорядчих документів щодо захисту інформації в ІТС;
подавати керівництву Укрдержархіву пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки тощо у випадку виявлення порушень політики безпеки або у випадку виникнення реальної загрози порушення безпеки;
складати і подавати керівництву Укрдержархіву акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення;
проводити спільно з РСО Укрдержархіву та установ СФД службові розслідування у випадках виявлення порушень;
отримувати доступ до робіт та документів структурних підрозділів Укрдержархіву та установ СФД, необхідних для оцінки вжитих заходів щодо захисту інформації та підготовки пропозицій щодо їхнього подальшого удосконалення;
готувати пропозиції щодо залучення на договірній основі до виконання робіт щодо захисту інформації інших організацій, що мають ліцензії на провадження певного виду господарської діяльності у сфері технічного захисту інформації, а також фахівців організацій, яким в установленому порядку надано допуск до робіт, пов'язаних з державною таємницею;
готувати пропозиції щодо забезпечення ІТС необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою з метою забезпечення захисту інформації;
надавати керівництву Укрдержархіву пропозиції щодо подання заяв до відповідних державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів захисту інформації;
узгоджувати умови включення до складу ІТС нових компонентів та подавати керівництву Укрдержархіву пропозиції щодо заборони їх включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів ІТС;
надавати керівництву Укрдержархіву пропозиції щодо узгодження планів і регламенту доступу до ІТС сторонніми особами.
4.2. Обов'язки
СЗІ зобов'язана:
організовувати забезпечення повного та якісного виконання організаційно-технічних заходів щодо захисту інформації в ІТС;
вчасно і в повному обсязі доводити до користувачів і персоналу ІТС інформацію про зміни в галузі захисту інформації, які їх стосуються;
перевіряти відповідність прийнятих в ІТС правил, інструкцій щодо обробки інформації, здійснювати контроль за виконанням цих вимог;
здійснювати контрольні перевірки стану захищеності інформації в ІТС;
забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в ІТС;
сприяти і, у разі необхідності, брати безпосередню участь у проведенні компетентними органами перевірок стану захищеності інформації в ІТС;
негайно повідомляти керівництво Укрдержархіву про виявлені факти спроб порушення цілісності систем та викритих порушників.
4.3. Відповідальність
4.3.1 Відповідальність за діяльність СЗІ покладається на її керівника. Керівник СЗІ відповідає за:
організацію робіт щодо захисту інформації в ІТС, ефективність захисту інформації відповідно до діючих нормативно-правових актів;
якісне виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених у цьому Положенні, посадових інструкціях, а також планових заходів щодо захисту інформації;
проведення навчання співробітників, користувачів, персоналу ІТС з питань захисту інформації;
виконання особисто та співробітниками СЗІ розпоряджень керівництва Укрдержархіву, правил внутрішнього трудового розпорядку, встановленого режиму, питань охорони праці та пожежної безпеки.
4.3.2 Співробітники СЗІ відповідають за:
додержання вимог нормативних документів, що визначають порядок організації та проведення робіт щодо захисту інформації, інформаційних ресурсів та технологій;
повноту та якість розроблення і впровадження організаційно-технічних заходів з захисту інформації в ІТС, точність та достовірність отриманих результатів і висновків з питань, що належать до компетенції СЗІ;
дотримання термінів проведення заходів з оцінки стану захищеності інформації в ІТС, які включені до плану робіт СЗІ;
якість та правомірність документального оформлення результатів робіт окремих етапів створення КСЗІ, документального оформлення результатів перевірок.
5. Взаємодія служби захисту інформації
з іншими підрозділами підприємствами, установами,
організаціями
5.1. СЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами і установами, що займаються питаннями захисту інформації.
5.2. Заходи щодо захисту інформації в ІТС повинні бути узгоджені СЗІ із заходами охоронної та режимно-секретної діяльності Укрдержархіву та установ СФД.
СЗІ взаємодіє та узгоджує свою діяльність з:
РСО Укрдержархіву та установ СФД;
відповідальними за технічний захист інформації в Укрдержархіві та установах СФД;
керівниками структурних підрозділів Укрдержархіву та установ СФД, виробнича діяльність яких пов'язана з захистом інформації або її автоматизованою обробкою в ІТС;
організаціями, які є користувачами, постачальниками, виконавцями робіт та іншими суб'єктами діяльності у сфері захисту інформації.
Директор департаменту страхового фонду документації Укрдержархіву
А. В. Меленець