РОЗДІЛ 9 ЗАХИСТ ДЕРЖАВНИХ ІНФОРМАЦІЙНИХ РЕСУРСІВ В ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМАХ

Захист державних інформаційних ресурсів в комп’ютерних системах, що входять до складу інформаційно-телекомунікаційних систем (ІТС) повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації, спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації.

Порядок створення та вимоги щодо КСЗІ в комп’ютерних системах під час їх створення, експлуатації та модернізації визначаються Законом України "Про захист інформації в комп’ютерних системах", Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27 вересня 1999 р. № 1229, Положенням про порядок здійснення криптографічного захисту інформації в Україні, затвердженим Указом Президента України від 22 травня 1998 р. №505/98, нормативно-правовими актами та нормативними документами систем технічного та криптографічного захисту інформації.

В КС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж.

Конфіденційність інформації, яка є державним інформаційним ресурсом, під час передавання мережею даних забезпечує власник КС з використанням засобів та заходів з криптографічного захисту інформації або оператор ІТС за договором з власником КС.

Оброблення державних інформаційних ресурсів в комп’ютерній системі, також їх передавання з використанням ІТС, дозволяється тільки після отримання атестата відповідності КСЗІ вимогам захисту інформації, який надається в установленому порядку Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня   1999 р. № 62 і зареєстрованим в Міністерстві юстиції України 24 січня 2000 р. за № 40/4261.

Дозвіл на оброблення державних інформаційних ресурсів дається наказом керівника установи (підприємства, організації), яка є власником КС.

9.1 Забезпечення захисту державних інформаційних ресурсів в мережах передачі даних

Захист державних інформаційних ресурсів у ІТС повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.

Засоби захисту інформації, які використовуються в ІТС для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.

Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 р. № 329/32 і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за № 640/5831, а експертний висновок – згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. № 62 і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за № 40/4261.

У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам захисту інформації здійснюється під час проведення державної експертизи КСЗІ.

Передавання державних інформаційних ресурсів дозволяється тільки через вузли комутації, що мають атестат відповідності КСЗІ вимогам із захисту інформації, який надається в такому порядку, як і на КСЗІ в КС.

Особи, винні в порушенні порядку захисту державних інформаційних ресурсів у ІТС, несуть відповідальність згідно з чинним законодавством України.

9.2 Контроль за забезпеченням захисту державних інформаційних ресурсів в ІТС

Контроль за забезпеченням захисту державних інформаційних ресурсів в ІТС здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України і полягає у перевірці виконання власниками КС та операторами ІТС вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації.

У разі виявлення в ІТС порушень вимог із захисту державних інформаційних ресурсів ДСТСЗІ СБ України порушує у встановленому порядку питання про припинення функціонування КС або використання ІТС.

Власники КС та оператори ІТС повинні створювати необхідні умови для здійснення державного контролю за забезпеченням захисту державних інформаційних ресурсів.

Власники КС та оператори ІТС повинні повідомляти ДСТСЗІ СБ України про виявлені ними спроби та факти здійснення несанкціонованих дій щодо державних інформаційних ресурсів.

Оператори ІТС повинні надавати власнику КС відомості про виявлені ними спроби та факти здійснення несанкціонованих дій в мережах передачі даних щодо інформації, яка йому належить.

Порядок організації та здійснення контролю за забезпеченням захисту державних інформаційних ресурсів в ІТС визначається відповідними нормативно-правовими актами.