АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ |
НАКАЗ |
15.01.2016 № 20 |
Про затвердження Порядку сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті
Відповідно до пункту 41 частини першої статті 14 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України», підпункту 30 пункту 4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та абзацу другого пункту 5 Плану заходів щодо захисту державних інформаційних ресурсів, затвердженого розпорядженням Кабінету Міністрів України від 05 листопада 2014 року № 1135-р, НАКАЗУЮ:
1. Затвердити Порядок сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті, що додається.
2. Директору Департаменту спеціальних інформаційно-телекомунікаційних систем Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України відповідно до Указу Президента України від 03 жовтня 1992 року № 493 «Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади».
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України.
ПОГОДЖЕНО: |
|
ЗАТВЕРДЖЕНО |
ПОРЯДОК
сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті
1. Цей Порядок визначає правові та організаційні засади проведення сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті (далі - сканування).
2. Сканування є однією з форм проведення оцінки стану захищеності інформації в інформаційно-телекомунікаційних системах (далі - ІТС), що полягає у дистанційному виявленні уразливих місць програмно-апаратних засобів (місць, використовуючи які зловмисник може порушити цілісність, доступність, конфіденційність інформації або спостережність системи), які забезпечують функціонування державних інформаційних ресурсів, розміщених в Інтернеті.
3. Терміни у цьому Порядку вживаються у значеннях, наведених у Законах України «Про захист інформації в інформаційно-телекомунікаційних системах», «Про Державну службу спеціального зв’язку та захисту інформації України», «Про телекомунікації».
4. Сканування здійснюється з метою запобігання несанкціонованим діям щодо державних інформаційних ресурсів, розміщених в Інтернеті, і є складовою частиною заходів із захисту інформації.
5. Об’єктом сканування є ІТС або її окремі елементи, в яких обробляються державні інформаційні ресурси, розміщені в Інтернеті, незалежно від наявності в таких ІТС побудованої комплексної системи захисту інформації.
До зазначених інформаційних ресурсів, зокрема, належать Інтернет-ресурси органів державної влади, органів місцевого самоврядування, військових формувань, утворених відповідно до законів України, підприємств, установ і організацій державної форми власності (далі - розпорядники державних інформаційних ресурсів, розміщених в Інтернеті).
6. Сканування проводиться уповноваженим підрозділом Державної служби спеціального зв’язку та захисту інформації України (далі - підрозділ Держспецзв’язку) за рішенням Голови Держспецзв’язку або його заступника відповідно до розподілу функціональних обов'язків на підставі письмового звернення розпорядника державного інформаційного ресурсу, розміщеного в Інтернеті.
7. До початку сканування підрозділ Держспецзв’язку:
розробляє загальну програму та методику сканування;
письмово погоджує із розпорядником державного інформаційного ресурсу, розміщеного в Інтернеті, та власником ІТС (якщо розпорядник державного інформаційного ресурсу не є власником ІТС, у якій обробляється відповідний ресурс) строки, обсяг та зміст проведення сканування;
не пізніше ніж за три робочих дні письмово інформує Службу безпеки України про об’єкт, строки та методи проведення сканування. Для термінового інформування також використовується електронна пошта.
8. За результатами сканування складається акт сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті (далі - Акт), форма якого наведена у додатку до цього Порядку. Акт складається у двох примірниках та затверджується Головою Держспецзв'язку або його заступником відповідно до розподілу функціональних обов'язків.
Примірники Акта не пізніше ніж через десять днів після його затвердження надсилаються розпоряднику державного інформаційного ресурсу, розміщеного в Інтернеті.
Після ознайомлення керівником або уповноваженою особою державного органу, що є розпорядником державного інформаційного ресурсу, розміщеного в Інтернеті, перший примірник Акта підлягає поверненню у 10-денний строк з дати його отримання. До усунення причин, що зумовлюють віднайдені вразливості, розпоряднику державного інформаційного ресурсу, розміщеного в Інтернеті, забороняється публічно оголошувати результати сканування.
9. Держспецзв'язку протягом п’яти календарних днів з моменту виявлення під час сканування випадків порушення правил обробки та захисту інформації, які можуть спричинити розголошення службової інформації або інформації, що становить державну таємницю, інформує про них Службу безпеки України.
10. У місячний строк з дня отримання Акта розпорядник державного інформаційного ресурсу, розміщеного в Інтернеті, письмово інформує Держспецзв’язку про врахування рекомендацій, викладених в Акті. За відсутності такого інформування або надходження повідомлення про неможливість врахування рекомендацій Держспецзв’язку протягом десяти робочих днів повідомляє Службу безпеки України про виявлені під час сканування вразливості державних інформаційних ресурсів, розміщених в Інтернеті.
11. Посадовим особам Держспецзв’язку, що безпосередньо проводять сканування, а також співробітникам Служби безпеки України, яким відповідно до визначених законодавством повноважень стали відомі результати сканування, забороняється використовувати виявлені вразливості для одержання доступу до змісту інформації, зокрема персональних даних, а також розголошувати результати сканування.
Директор Департаменту |
|
Додаток |
АКТ
сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті