АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
| 02.12.2014 м. Київ № 660 |
Зареєстровано в Міністерстві юстиції України
28 січня 2015 р. за № 90/26535
Про затвердження Порядку оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах
( заголовок із змінами, внесеними згідно з наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 02.12.2022 р. № 745, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 21.12.2022 р. № 812 )( Із змінами і доповненнями, внесеними наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 2 грудня 2022 року № 745 ( враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 21 грудня 2022 року № 812 ), від 9 вересня 2024 року № 489 ( враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 28 вересня 2024 року № 537 )
Відповідно до пункту 41 частини першої статті 14 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" та підпункту 30 пункту 4 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411,
НАКАЗУЮ:
1. Затвердити Порядок оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, що додається.
2. Визнати таким, що втратив чинність, наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 04 липня 2008 року № 112 "Про затвердження Порядку оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах", зареєстрований в Міністерстві юстиції України 25 липня 2008 року за № 690/15381.
(пункт 1 із змінами, внесеними згідно з наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 02.12.2022 р. № 745,враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 21.12.2022 р. № 812
3. Директору Департаменту спеціальних інформаційно-телекомунікаційних систем Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України відповідно до Указу Президента України від 03 жовтня 1992 року № 493 "Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади".
4. Цей наказ набирає чинності з дня його офіційного опублікування.
5. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.
| Голова Служби | В. П. Звєрєв |
| ПОГОДЖЕНО: | |
| Голова Державної регуляторної служби України | К. Ляпіна |
ЗАТВЕРДЖЕНО
Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України
02 грудня 2014 року № 660
Зареєстровано
в Міністерстві юстиції України
28 січня 2015 р. за № 90/26535
Порядок
оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах
( У заголовку, тексті Порядку та тексті додатка до нього слова "телекомунікаційних", "інформаційно-телекомунікаційних" замінено відповідно словами "електронних комунікаційних", "інформаційно-комунікаційних", а також слово "ІТС" замінено словом "ІКС"; слова "телекомунікаційних та інформаційно-телекомунікаційних" замінено словами "електронних комунікаційних та інформаційно-комунікаційних" згідно з наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 2 грудня 2022 року № 745, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 21 грудня 2022 року № 812 )
1. Цей Порядок визначає правові та організаційні засади проведення оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах державних органів, органів місцевого самоврядування, військових формувань, утворених відповідно до законів України (далі - військові формування), підприємств, установ і організацій незалежно від форм власності.
Дія цього Порядку не поширюється на системи спеціального зв'язку.
2. Терміни у цьому Порядку вживаються у таких значеннях:
оцінка (оцінювання) стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та нформаційно-комунікаційних системах (далі - оцінка стану захищеності) - сукупність заходів, спрямованих на виявлення загроз державним інформаційним ресурсам та запобігання несанкціонованим діям щодо інформації в інформаційних, електронних комунікаційних" та інформаційно-комунікаційних системах (далі - ІКС);
оцінка (оцінювання) захищеності інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі - оцінка захищеності) - заходи щодо виявлення в ІКС технічних рішень, що створюють передумови для порушення конфіденційності, цілісності та доступності інформації, яка в них обробляється.
Інші терміни вживаються у значеннях, наведених у Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про Державну службу спеціального зв'язку та захисту інформації України".
3. Оцінка стану захищеності здійснюється з метою виявлення існуючих загроз державним інформаційним ресурсам в ІКС і є складовою частиною заходів із захисту інформації.
4. Об'єктом оцінки стану захищеності є державні інформаційні ресурси, які обробляються в ІКС, незалежно від наявності в таких ІКС комплексної системи захисту інформації (далі - КСЗІ).
5. В ІКС, де створено КСЗІ з підтвердженою відповідністю, оцінка стану захищеності здійснюється з метою виявлення нових загроз державним інформаційним ресурсам, які виникли у процесі експлуатації КСЗІ та які не враховані у КСЗІ.
6. У разі виявлення в ІКС, де створено КСЗІ з підтвердженою відповідністю, додаткових загроз державним інформаційним ресурсам, які виникли за період експлуатації КСЗІ, інформація про таку КСЗІ надається Держспецзв'язку згідно з Положенням про Реєстр інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління, затвердженим постановою Кабінету Міністрів України від 03 серпня 2005 року № 688.
7. Оцінка стану захищеності в державному органі, органі місцевого самоврядування, військовому формуванні, на підприємстві, в установі, організації незалежно від форм власності здійснюється Державним центром кіберзахисту Державної служби спеціального зв'язку та захисту інформації України (далі - ДЦКЗ Держспецзв'язку).
( пункт 7 із змінами, внесеними згідно з наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 09.09.2024 р. № 489, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 28.09.2024 р. № 537 )
8. За результатами оцінки стану захищеності складається акт оцінки стану захищеності державних інформаційних ресурсів в ІКС (далі - Акт) згідно з додатком, де викладаються результати роботи комісії та рекомендації стосовно підвищення рівня захищеності державних інформаційних ресурсів, який затверджується начальником ДЦКЗ Держспецзв'язку.
( пункт 8 із змінами, внесеними згідно з наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 09.09.2024 р. № 489, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 28.09.2024 р. № 537 )
9. З метою здійснення оцінки стану захищеності:
1) Адміністрація Держспецзв'язку:
здійснює планування проведення оцінки стану захищеності в органах державної влади, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності;
визначає та оприлюднює на вебсайті Держспецзв'язку перелік спеціалізованого програмного забезпечення та програмно-апаратних засобів, які використовуються для проведення оцінки захищеності;
2) ДЦКЗ Держспецзв'язку:
створює комісію з оцінки стану захищеності (далі - комісія);
розробляє загальну програму та методику оцінки стану захищеності в органах державної влади, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності, а також окремі програми та методики оцінки захищеності залежно від виду ІКС та режиму доступу до інформації, що в ній обробляється;
визначає перелік документів, що стосуються функціонування ІКС та підлягають аналізу під час проведення оцінки стану захищеності.
( підпункт 1 пункту 9 замінено двома новими підпунктами 1, 2 згідно з наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 09.09.2024 р. № 489, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 28.09.2024 р. № 537, у зв'язку з цим підпункт 2 вважати підпунктом 3 )
3) державні органи, органи місцевого самоврядування, військові формування, підприємства, установи і організації незалежно від форм власності, в яких здійснюється оцінка стану захищеності:
надають комісії всі необхідні документи, що стосуються функціонування ІКС;
надають комісії доступ до ІКС;
повідомляють Держспецзв'язку про стан виконання рекомендацій, зазначених в Акті.
10. Оцінка стану захищеності в державних органах, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності проводиться згідно з річним планом, який затверджується наказом Адміністрації Держспецзв'язку, або позапланово.
Планова оцінка стану захищеності проводиться в державних органах, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності не частіше ніж один раз на три роки.
( абзац другий пункту 10 із змінами, внесеними згідно з наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 09.09.2024 р. № 489, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 28.09.2024 р. № 537 )
Витяги з річного плану надсилаються до вказаних у ньому державних органів, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності щороку до 01 лютого.
Позапланова оцінка стану захищеності проводиться в державних органах, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності за їх безпосередніми зверненнями та рішенням Голови Держспецзв'язку або його заступника за напрямом діяльності згідно з розподілом функціональних обов'язків.
11. ДЦКЗ Держспецзв'язку письмово повідомляє державні органи, органи місцевого самоврядування, військові формування, підприємства, установи, організації незалежно від форм власності, в яких планується здійснити оцінку стану захищеності, не менше ніж за десять діб до її початку.
( пункт 11 із змінами, внесеними згідно з наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 09.09.2024 р. № 489, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 28.09.2024 р. № 537 )
12. Підставою для допуску до проведення оцінки стану захищеності є припис, підписаний Головою Держспецзв'язку або його заступником за напрямом діяльності згідно з розподілом функціональних обов'язків, у якому вказується персональний склад комісії.
| Директор Департаменту спеціальних інформаційно-телекомунікаційних систем Адміністрації Держспецзв'язку | С. А. Нежурбіда |
Додаток
до Порядку оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах
(пункт 8)
ЗАТВЕРДЖУЮ
__________________________
__________________________
АКТ
оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах
в __________________________________
(додаток із змінами, внесеними згідно з наказом
Адміністрації Державної служби спеціального зв'язку та захисту
інформації України від 02.12.2022 р. № 745,
враховуючи зміни, внесені наказом Адміністрації Державної служби
спеціального зв'язку та захисту інформації України від 21.12.2022 р. № 812
____________