Про затвердження плану заходів щодо захисту державних інформаційних ресурсів
1. Затвердити план заходів щодо захисту державних інформаційних ресурсів, що додається.
2. Міністерствам, іншим центральним органам виконавчої влади, Раді міністрів Автономної Республіки Крим, обласним, Київській і Севастопольській міським держадміністраціям забезпечити подання кожного півріччя до 30 червня і 30 грудня Адміністрації Державної служби спеціального зв’язку та захисту інформації даних про хід виконання плану заходів, затвердженого цим розпорядженням, для їх узагальнення та інформування до 1 серпня і 1 лютого Кабінету Міністрів України.
ПЛАН
заходів щодо захисту державних інформаційних ресурсів
1. Удосконалити правове регулювання у сфері захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, розробити нормативні документи з урахуванням нових тенденцій, викликів і загроз у кіберпросторі:
підготувати проект Указу Президента України “Про деякі заходи щодо захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах”.
опрацювати питання щодо внесення змін до Правил домену GOV.UA.
Адміністрація Держспецзв’язку, Державне агентство з питань електронного урядування, НКРЗІ (за згодою), СБУ (за згодою), ТОВ “Хостмайстер” (за згодою). | |
Протягом 2015 року. |
2. Удосконалити правове регулювання щодо здійснення державного контролю за додержанням вимог законодавства, а також нормативних документів у сфері надання послуг електронного цифрового підпису:
провести аналіз законодавства у сфері надання послуг електронного цифрового підпису з метою визначення потреби у розробленні проектів нормативно-правових актів або внесення змін до нормативно-правових актів з питань державного контролю у зазначеній сфері.
розробити проекти нормативно-правових актів з питань державного контролю за додержанням вимог законодавства, а також нормативних документів у сфері надання послуг електронного цифрового підпису.
3. Забезпечити ефективне регулювання діяльності у сфері криптографічного та технічного захисту інформації, вдосконалити порядок ліцензування, а також дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб:
удосконалити технічне регулювання у сфері технічного захисту інформації, забезпечити регламентування процедури підтвердження відповідності засобів технічного захисту інформації.
створити випробувальну лабораторію на базі Державного науково-дослідного інституту спеціального зв’язку та захисту інформації з метою розширення функціональних можливостей зазначеного органу із сертифікації засобів захисту інформації.
удосконалити державне регулювання господарської діяльності у галузі криптографічного та технічного захисту інформації на основі аналізу результатів діяльності суб’єктів ліцензування у зазначеній галузі.
удосконалити дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб органів державної влади, органів місцевого самоврядування, органів управління Збройних Сил, інших військових формувань, правоохоронних та інших державних органів на основі аналізу результатів діяльності суб’єктів дозвільної системи.
4. Сформувати перелік об’єктів, що належать до критичної інформаційної інфраструктури держави, організувати та провести оцінку стану захищеності державних інформаційних ресурсів зазначених об’єктів:
розробити та подати для затвердження Кабінетові Міністрів України порядок віднесення об’єктів до критичної інформаційної інфраструктури держави та перелік таких об’єктів.
організувати та провести оцінку стану захищеності державних інформаційних ресурсів об’єктів, що належать до критичної інформаційної інфраструктури держави (згідно з процедурою оцінки стану захищеності).
5. Забезпечити безпечне зберігання та сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті:
нормативно врегулювати питання сканування державних інформаційних ресурсів, розміщених в Інтернеті, зокрема Інтернет-ресурсів органів державної влади, з метою виявлення уразливих місць, їх аналізу та запобігання несанкціонованим діям з інформацією (знищення, блокування, порушення цілісності тощо).
Адміністрація Держспецзв’язку, Державне агентство з питань електронного урядування, СБУ (за згодою), НКРЗІ (за згодою). | |
Перше півріччя 2015 р.; |
утворити захищений центр оброблення даних для розміщення державних інформаційних ресурсів.
6. Удосконалити систему захищеного доступу державних органів до Інтернету у складі Національної системи конфіденційного зв’язку, а саме провести її модернізацію з метою розширення функціональних можливостей.
7. Забезпечити проведення наукових, науково-дослідних та дослідно-конструкторських робіт з питань захисту державних інформаційних ресурсів, а саме розробити нові перспективні засоби криптографічного та технічного захисту інформації, засоби і системи спеціального зв’язку.
8. Модернізувати та вдосконалити апаратне і програмне оснащення комплексів, що забезпечують роботу Команди реагування на комп’ютерні надзвичайні події України (CERT-UA) (далі - Команда реагування), а саме впровадити спеціалізоване програмне забезпечення, призначене для автоматизації процесу оцінки стану захищеності державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, та додаткове спеціалізоване апаратне забезпечення для захисту від мережевих атак.
9. Створити захищену інформаційну інфраструктуру держави, розгорнути захищені системи інформаційного обміну:
прискорити інтеграцію інформаційно-телекомунікаційних систем органів державної влади до Національної системи конфіденційного зв’язку.
удосконалити спеціальну інформаційно-телекомунікаційну систему органів виконавчої влади з метою забезпечення сталого функціонування та розвитку.
10. Привести стан захисту інформації, що циркулює на об’єктах інформаційної діяльності та в інформаційно-телекомунікаційних системах, у відповідність з вимогами законодавства, а саме створити комплексні системи захисту інформації з підтвердженою відповідністю в інформаційно-телекомунікаційних системах, у яких обробляється або передбачається оброблення інформації, вимога щодо захисту якої встановлена законом, а також створити та атестувати комплекси технічного захисту інформації на об’єктах інформаційної діяльності органів державної влади, підприємств, установ та організацій, що входять до сфери управління таких органів.
11. Забезпечити установлення адміністративної та кримінальної відповідальності за невиконання вимог нормативно-правових актів у сфері захисту інформації:
провести аналіз актів законодавства, якими установлюється адміністративна та кримінальна відповідальність за невиконання вимог нормативно-правових актів у сфері захисту інформації.
подати в установленому порядку Кабінетові Міністрів України пропозиції щодо:
- установлення адміністративної та кримінальної відповідальності за невиконання вимог нормативно-правових актів у сфері захисту інформації;
- удосконалення законодавства у частині протидії правопорушенням, пов’язаним з протиправними діями щодо державних інформаційних ресурсів та інформаційно-телекомунікаційних систем об’єктів критичної інформаційної інфраструктури держави, з метою розмежування повноважень органів СБУ та органів внутрішніх справ стосовно реалізації правоохоронних функцій у сфері забезпечення інформаційної безпеки держави.
12. Забезпечити ефективну міжнародну співпрацю, укладення двосторонніх (багатосторонніх) угод про взаємодію та співробітництво, в тому числі із залученням Команди реагування:
визначити на загальнодержавному рівні статус та повноваження Команди реагування.
налагодити широке співробітництво з питань кібербезпеки та кіберзахисту з іноземними державами.
13. Створити дієву систему взаємодії державних органів, підприємств, установ та організацій з питань протидії кіберзагрозам за участю Команди реагування.