Про створення служби захисту інформації Центру сертифікації ключів Генеральної прокуратури України

Відповідно до Законів України "Про захист інформації в інформаційно-телекомунікаційних системах", "Про прокуратуру", Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13.07.2004 № 903, Типового положення про службу захисту інформації в автоматизованій системі НД ТЗІ 1.4-001-2000, затвердженого наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 04.12.2000 № 53, з метою забезпечення завдань керування комплексною системою захисту інформації інформаційно-телекомунікаційної системи Центру сертифікації ключів Генеральної прокуратури України та здійснення контролю за її функціонуванням НАКАЗУЮ:

1. Створити службу захисту інформації Центру сертифікації ключів Генеральної прокуратури України (далі - ЦСК ГПУ) у складі таких посадових осіб ЦСК ГПУ:

2. Службі захисту інформації ЦСК ГПУ забезпечити:

- виконання робіт з визначення вимог із захисту інформації в інформаційно-телекомунікаційній системі ЦСК ГПУ (далі - ІТС ЦСК);

- проектування, розроблення і модернізацію комплексної системи захисту інформації ІТС ЦСК (далі - КСЗІ ІТС ЦСК);

- експлуатацію, обслуговування, підтримку працездатності КСЗІ ІТС ЦСК;

- контроль за станом захищеності інформації в ІТС ЦСК.

3. Затвердити Положення про службу захисту інформації Центру сертифікації ключів Генеральної прокуратури України, що додається.

4. Контроль за виконанням цього наказу покласти на першого заступника Генерального прокурора Сторожука Д.А.

ПОЛОЖЕННЯ
про службу захисту інформації Центру сертифікації ключів Генеральної прокуратури України

I. Загальні положення

1. Це Положення визначає структуру, склад, завдання, функції та повноваження служби захисту інформації (далі - СЗІ) Центру сертифікації ключів Генеральної прокуратури України (далі - ЦСК).

2. СЗІ створюється наказом Генеральної прокуратури України з метою організаційного забезпечення завдань керування комплексною системою захисту інформації (далі - КСЗІ) в ЦСК та здійснення контролю за її функціонуванням. СЗІ є підрозділом ЦСК, підпорядкованим її керівнику.

3. У своїй діяльності СЗІ керується Конституцією України, Законами України "Про прокуратуру", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про державну службу", "Про електронний цифровий підпис", Указом Президента України "Про Положення про технічний захист інформації в Україні", Порядком акредитації центру сертифікації ключів, затвердженим постановою Кабінету Міністрів України від 13.07.2004 № 903, Правилами забезпечення захисту інформації в інформаційних, телекомунікаційних та в інформаційно-телекомунікаційних системах, затвердженими постановою Кабінету Міністрів України від 29.03.2006 № 373, Типовим положенням про службу захисту інформації в автоматизованій системі (НД ТЗІ 1.4-001-2000), затвердженим наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 04.12.2000 № 53, Правилами посиленої сертифікації, затвердженими наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13.01.2005 № 3, зареєстрованими у Міністерстві юстиції України 27.01.2005 за № 104/10384, іншими нормативно-правовими актами, державними і галузевими стандартами, наказами Генеральної прокуратури України з питань забезпечення захисту інформації, а також цим Положенням.

4. СЗІ організовує свою роботу у взаємодії зі структурними підрозділами Генеральної прокуратури України, прокуратурами всіх рівнів, державними органами, підприємствами, установами та організаціями у сфері захисту інформації.

5. СЗІ здійснює діяльність відповідно до Плану захисту інформації та інших планів роботи, затверджених керівництвом Генеральної прокуратури України.

6. Для проведення окремих заходів із захисту інформації в інформаційно-телекомунікаційній системі ЦСК (далі - ІТС ЦСК), які пов'язані з напрямом діяльності інших підрозділів, наказом Генеральної прокуратури України визначається перелік, строки виконання та підрозділи для виконання цих робіт.

7. Матеріально-технічну базу для забезпечення діяльності СЗІ становлять належні їй засоби захисту інформації, програмне забезпечення, технічне та інженерне обладнання, засоби вимірювань і контролю, відповідна документація, а також інші засоби і обладнання, необхідні для виконання СЗІ покладених на неї завдань.

8. Засоби захисту інформації та захищені засоби, що використовуються працівниками СЗІ при виконанні своїх службових обов'язків, повинні мати одержане в установленому порядку підтвердження відповідності вимогам нормативних документів у сфері захисту інформації.

9. Матеріально-технічне та інше спеціальне забезпечення СЗІ здійснюється в установленому у Генеральній прокуратурі України порядку.

10. СЗІ утворюється у складі його начальника та членів.

10.1. Виконання функцій СЗІ може покладатися на працівників Генеральної прокуратури України, які мають вищу технічну чи юридичну освіту, практичний досвід роботи з автоматизованими інформаційними системами, володіють навичками з розробки, впровадження, експлуатації КСЗІ та засобів захисту інформації, а також з реалізації організаційних, технічних та інших заходів із захисту інформації, знаннями і вмінням застосовувати нормативно-правові документи у сфері захисту інформації.

10.2. Персональний склад СЗІ затверджується наказом Генеральної прокуратури України.

11. При покладанні на працівника функцій СЗІ з метою забезпечення конфіденційності робіт ним надається письмове зобов'язання щодо нерозголошення відомостей, що становлять службову або іншу таємницю і які стали йому відомі в період роботи в ЦСК, у тому числі про персональні дані.

12. Безпосереднє керівництво роботою СЗІ здійснює його начальник. У разі відсутності начальника СЗІ його обов'язки виконує член СЗІ - адміністратор безпеки ЦСК.

II. Основні завдання СЗІ

1. Виконання робіт із визначення вимог із захисту інформації в ЦСК.

2. Участь у проектуванні, розробленні, експлуатації, обслуговуванні, підтримці працездатності ЦСК та контролі за станом захищеності інформації.

3. Захист, у межах компетенції, прав користувачів ЦСК щодо безпеки інформації ЦСК, його персоналу в процесі інформаційної діяльності та взаємодії між собою, структурними підрозділами Генеральної прокуратури України, прокуратурами усіх рівнів, державними органами, підприємствами, установами та організаціями у сфері захисту інформації.

4. Дослідження технології обробки інформації в ЦСК з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію.

5. Організація та координація робіт, пов'язаних із захистом інформації в ЦСК, у порядку, передбаченому законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій.

6. Розроблення проектів нормативно-правових та організаційно-розпорядчих документів Генеральної прокуратури України з питань захисту інформації в ЦСК.

7. Організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу ІТС ЦСК.

8. Участь в організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів ЦСК з питань захисту інформації.

9. Організація виконання персоналом і користувачами ЦСК вимог нормативно-правових актів, організаційно-розпорядчих документів із захисту інформації в ЦСК, проведення перевірок їх виконання.

III. Функції СЗІ

1. Визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об'єктів захисту в ЦСК, класифікація інформації за вимогами до її конфіденційності або важливості для Генеральної прокуратури України, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в ЦСК.

2. Розробка та коригування моделі загроз і моделі захисту інформації, політики безпеки інформації в ЦСК.

3. Визначення і формування вимог до КСЗІ.

4. Організація і координація, спільно з уповноваженим підрозділом Генеральної прокуратури України, робіт з проектування та розробки КСЗІ, безпосередня участь у проектних роботах зі створення КСЗІ.

5. Підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ.

6. Організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи.

7. Вибір організацій-виконавців робіт зі створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт із захисту інформації, погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт тощо).

8. Участь у розробці нормативно-правових актів та організаційно-розпорядчих документів Генеральної прокуратури України з питань безпеки та захисту інформації, правил експлуатації КСЗІ, контролю за їх дотриманням.

9. Розробка планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу ЦСК.

10. Розробка спеціальних програм навчання з урахуванням особливостей технології обробки інформації в ЦСК, рівня її захищеності тощо.

11. Участь в організації і проведенні навчання користувачів і персоналу ЦСК правилам роботи з КСЗІ, захищеними технологіями та ресурсами.

12. Взаємодія з державними органами, навчальними закладами, іншими організаціями з питань навчання та підвищення кваліфікації.

IV. Повноваження СЗІ

1. З метою виконання покладених завдань СЗІ має право:

- здійснювати контроль за діяльністю персоналу ЦСК щодо виконання вимог нормативно-правових актів, організаційно-розпорядчих документів із захисту інформації;

- подавати керівництву Генеральної прокуратури України пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки тощо у випадку виявлення порушень політики безпеки або у випадку виникнення реальної загрози порушення безпеки;

- складати і подавати керівництву Генеральної прокуратури України акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їх усунення;

- ініціювати проведення службового розслідування у разі виявлення порушень;

- отримувати доступ до робіт та документів персоналу ЦСК, необхідних для оцінки вжитих заходів із захисту інформації та підготовки пропозицій щодо їх подальшого удосконалення;

- вносити пропозиції щодо залучення до виконання робіт із захисту інформації інших організацій, які мають ліцензії на відповідний вид діяльності;

- готувати пропозиції щодо забезпечення програмно-технічного комплексу ЦСК (далі - ПТК ЦСК) необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення захисту інформації;

- надавати керівництву Генеральної прокуратури України пропозиції щодо подання заяв до відповідних державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів захисту інформації;

- узгоджувати умови включення до складу ПТК ЦСК нових компонентів та надавати керівництву Генеральної прокуратури України пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів;

- надавати висновки з питань, що належать до компетенції СЗІ, які необхідні для здійснення виробничої діяльності організації, особливо технологій, доступ до яких обмежено, інших проектів, що потребують технічної підтримки з боку співробітників СЗІ.

2. Обов'язки СЗІ:

- організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів із захисту інформації в ЦСК;

- вчасно і в повному обсязі доводити до користувачів і персоналу ЦСК інформацію про зміни в галузі захисту інформації, які їх стосуються;

- перевіряти відповідність прийнятих ЦСК організаційно-розпорядчих документів щодо обробки інформації, здійснювати контроль за виконанням цих вимог;

- здійснювати перевірки стану захищеності інформації в ЦСК;

- забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, установлених у ПТК ЦСК;

- сприяти уповноваженим органам у проведенні перевірок стану захищеності інформації в ПТК ЦСК, у разі необхідності брати у них участь;

- сприяти, у межах компетенції (технічними та організаційними заходами), створенню та дотриманню умов щодо збереженості інформації, отриманої Генеральної прокуратури України від інших відомств, організацій та приватних осіб;

- періодично, не рідше одного разу на півріччя, а також за потреби (у разі збоїв, відмови, аварій ПТК ЦСК) подавати керівництву Генеральної прокуратури України звіт про стан захищеності інформації в ЦСК і дотримання користувачами та персоналом ЦСК встановленого порядку і правил захисту інформації;

- негайно повідомляти керівництво Генеральної прокуратури України про виявлені атаки та викритих порушників;

- забезпечувати ведення журналу адміністратора безпеки в належному стані та контролювати ведення інших журналів;

- не рідше одного разу на день перевіряти цілісність конвертів з особистими ключами ЦСК та персоналу (основними та резервними), а також цілісність опечатування сейфів для зберігання особистих ключів, їх копій та іншої документації. У разі виявлення факту порушення упаковок або опечатування негайно інформувати уповноважені підрозділи та керівництво Генеральної прокуратури України;

- забезпечувати якісне виконання організаційно-технічних заходів із захисту інформації;

- розробляти проекти організаційно-розпорядчих документів щодо захисту інформації ЦСК, контролювати їх виконання;

- своєчасно реагувати на спроби несанкціонованого доступу до ресурсів ЦСК, порушення правил експлуатації засобів захисту інформації;

- брати участь у генерації ключів ЦСК та його посадових осіб, формування для посадових осіб сертифікатів;

- брати участь у знищенні особистого ключа ЦСК, контролювати правильність та своєчасність знищення посадовими особами ЦСК особистих ключів;

- контролювати процес резервування сертифікатів, ключів та списків відкликаних сертифікатів, а також інших важливих ресурсів;

- організовувати розмежування доступу до ресурсів ЦСК, зокрема розподілення між посадовими особами ЦСК паролів, ключів, сертифікатів тощо;

- забезпечувати спостереження (реєстрацію, аудит, моніторинг подій у ЦСК тощо) за функціонуванням КСЗІ;

- забезпечувати організацію та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ПТК ЦСК;

- подавати до центрального засвідчувального органу (засвідчувального центру) дані, необхідні для формування сертифіката та засвідчення відкритого ключа ЦСК;

- забезпечувати використання особистого ключа ЦСК під час формування сертифікатів ключів, списків відкликаних сертифікатів та позначки часу;

- забезпечувати ведення, архівацію та відновлення еталонної бази даних сформованих сертифікатів;

- інформувати адміністратора безпеки про події, що впливають на безпеку функціонування ЦСК;

- перевіряти дані, обов'язкові для формування сертифіката, а також дані, які вносяться у сертифікат на вимогу підписувача;

- надавати допомогу підписувачам щодо вжиття заходів із забезпечення безпеки інформації під час генерації особистих та відкритих ключів у разі отримання від них відповідного звернення;

- організовувати експлуатацію та технічне обслуговування комплексу засобів захисту (далі - КЗЗ) ПТК ЦСК;

- адмініструвати КЗЗ ПТК ЦСК;

- брати участь у впровадженні та забезпеченні функціонування комплексної системи захисту інформації;

- вести журнал аудиту подій, що реєструються засобами ПТК ЦСК;

- встановлювати та налагоджувати програмне забезпечення системи резервного копіювання;

- формувати та вести резервні копії загальносистемного та спеціального програмного забезпечення ЦСК;

- забезпечувати актуальність еталонних, архівних і резервних копій баз сертифікатів, що створюються в ЦСК, та їх зберігання.

3. Керівник СЗІ:

- здійснює загальне керівництво діяльністю СЗІ, організовує, спрямовує і контролює роботу членів СЗІ з урахуванням цього Положення, планових заходів із захисту інформації,

- організовує роботу із захисту інформації в ЦСК у порядку, передбаченому законодавством;

- забезпечує розроблення Плану захисту інформації, контролює його виконання;

- координує плани діяльності персоналу ЦСК, організацію його навчання з питань захисту інформації;

- забезпечує дотримання трудової та виконавської дисципліни в СЗІ, правил охорони праці та протипожежної охорони, ефективне використання і збереження майна СЗІ.

4. Члени СЗІ:

- забезпечують додержання вимог нормативних документів з питань організації робіт із захисту інформації, інформаційних ресурсів та технологій;

- здійснюють розроблення і впровадження організаційно-технічних заходів із захисту інформації в ЦСК;

- перевіряють стан захищеності інформації в ЦСК відповідно до плану робіт СЗІ;

- забезпечують якісне та повне документальне оформлення результатів робіт окремих етапів створення КСЗІ;

- вживають заходів щодо додержання організаційно-розпорядчих документів Генеральної прокуратури України з питань поводження з ключовими носіями та документами в разі компрометації особистого ключа та виходу з ладу ключових носіїв інформації;

- забезпечують фіксування облікових записів користувачів (паролі, ідентифікатори, ключі тощо) виключно на врахованих носіях;

- здійснюють своєчасні та належні профілактичні, діагностичні, ремонтні роботи з усунення несправностей ПТК ЦСК;

- додержуються норм експлуатації та забезпечують безперебійну роботу апаратури ПТК ЦСК.

5. Працівники Генеральної прокуратури України, на яких покладено виконання функцій СЗІ, виконують також інші повноваження, що випливають із покладених на неї завдань.

V. Узгодженість діяльності СЗІ

1. Заходи із захисту інформації в ЦСК Генеральної прокуратури України повинні бути узгоджені із заходами щодо технічного захисту інформації та режимної діяльності ГПУ.

2. СЗІ взаємодіє та узгоджує свою діяльність із:

- структурним підрозділом Генеральної прокуратури України, відповідальним за забезпечення технічного захисту інформації в Генеральної прокуратури України;

- зовнішніми організаціями, які є користувачами, постачальниками, виконавцями робіт за напрямом функціонування ЦСК;

- іншими суб'єктами діяльності у сфері захисту інформації;

- персоналом ЦСК, що безпосередньо не пов'язаний із захистом інформації.

VI. Організація роботи служби захисту інформації

1. СЗІ здійснює свою роботу щодо реалізації основних організаційних та організаційно-технічних заходів зі створення і забезпечення функціонування КСЗІ згідно з планами роботи. Підставою для розроблення планів роботи є План захисту інформації.

2. До планів включаються такі основні заходи:

- разові (одноразово виконувані, необхідність у повторенні яких виникає за умови повного перегляду прийнятих рішень із захисту інформації);

- постійно виконувані (заходи, що потребують виконання неперервно або дискретно у випадковий чи заданий час);

- періодично виконувані (із заданим інтервалом часу);

- виконувані за необхідності (заходи, що потребують виконання під час здійснення або виникнення певних змін у ПТК ЦСК чи зовнішньому середовищі).

3. Основними видами планів роботи СЗІ є:

- календарний план роботи (щодо реалізації заходів з проектування, реалізації, оцінювання, впровадження, технічного обслуговування, експлуатації КСЗІ та інших питань);

- план заходів з оперативного реагування на непередбачені ситуації (у тому числі надзвичайні та аварійні) та поновлення функціонування ЦСК;

- поточний план роботи (на півріччя, рік);

- перспективний план розвитку та вдосконалення діяльності СЗІ з питань захисту інформації (до 5 років);

- план заходів із забезпечення безпеки інформації під час виконання окремих важливих робіт, при проведенні нарад, укладенні договорів, угод тощо.

4. Проекти планів роботи складаються начальником СЗІ і затверджуються в установленому порядку.

VII. Відповідальність СЗІ

1. Начальник СЗІ відповідає за належну організацію роботи з виконання покладених на СЗІ завдань.

2. Члени СЗІ відповідають за належне виконання своїх функціональних обов'язків, своєчасне та якісне виконання доручень керівництва Генеральної прокуратури України та начальника СЗІ.

3. Працівники Генеральної прокуратури України, на яких покладено виконання функцій СЗІ, несуть відповідальність за порушення службової та трудової дисципліни, а також в інших випадках відповідно до Законів України "Про прокуратуру", "Про державну службу", "Про запобігання корупції", "Про електронний цифровий підпис", "Про захист персональних даних", законодавства про працю та з питань забезпечення захисту інформації.

{Текст взято з сайту Генеральної прокуратури України http://www.gp.gov.ua}