АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
13.11.2024 № 655
Зареєстровано в Міністерстві
юстиції України
09 грудня 2024 року
за № 1880/43225
Про затвердження Порядку акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом
Відповідно до статті 7 Адміністративних домовленостей щодо охорони інформації з обмеженим доступом між Урядом України та Організацією Північноатлантичного Договору, ратифікованих Законом України від 24 травня 2017 року № 2068-VIII, підпунктів 95-9, 95-10 пункту 4, пункту 10 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та з метою забезпечення акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом, НАКАЗУЮ:
1. Затвердити Порядок акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом, що додається.
2. Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу залишаю за собою.
| Голова Служби | Юрій МИРОНЕНКО |
ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв’язку
та захисту інформації України
13 листопада 2024 року № 655
Зареєстровано в Міністерстві
юстиції України
09 грудня 2024 року
за № 1880/43225
Порядок
акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом
I. Загальні положення
1. Цей Порядок визначає процедуру акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом, що доступна (поширюється) для України та використовується органами державної влади, підприємствами, установами і організаціями України (далі — УКР-НАТО ІКС).
2. Акредитація з безпеки УКР-НАТО ІКС проводиться з метою перевірки, аналізу, оцінки та підтвердження належного рівня впроваджених заходів безпеки УКР-НАТО ІКС щодо їх відповідності вимогам нормативно-правових актів України та НАТО з питань охорони та захисту інформації.
Основним елементом акредитації з безпеки УКР-НАТО ІКС є визначення прийнятного рівня залишкового ризику, який необхідно контролювати протягом усього життєвого циклу УКР-НАТО ІКС.
3. У цьому Порядку терміни вживаються в такому значенні:
акредитація з безпеки УКР-НАТО ІКС — процес підтвердження відповідності вимогам щодо забезпечення достатнього рівня захисту УКР-НАТО ІКС з урахуванням умов конфіденційності, цілісності, доступності, безвідмовності та ідентифікації, встановленим нормативно-правовими актами з питань охорони та захисту інформації;
власник УКР-НАТО ІКС — органи державної влади, підприємства, установи і організації, яким належить право власності на систему;
життєвий цикл УКР-НАТО ІКС — сукупність стадій та етапів, які проходить комунікаційно-інформаційна система (інформаційно-комунікаційна система) в своєму розвитку від дати прийняття рішення про початок її створення до дати виведення з експлуатації/утилізації обладнання;
національний Безпековий акредитаційний орган (далі — національний БАО) — державний орган, відповідальний за організацію акредитації з безпеки УКР-НАТО ІКС. Функції національного БАО відповідно до Адміністративних домовленостей щодо охорони інформації з обмеженим доступом між Урядом України та Організацією Північноатлантичного Договору, ратифікованих Законом України від 24 травня 2017 року № 2068-VIII (далі — Адміністративні домовленості), виконує Державна служба спеціального зв’язку та захисту інформації України;
орган безпеки — державний орган, відповідальний за імплементацію заходів з охорони інформації НАТО з обмеженим доступом, забезпечення впровадження мінімальних стандартів охорони та поводження з інформацією з обмеженим доступом, обмін якою здійснюється між Україною та НАТО, нагляд і контроль за їх дотриманням;
свідоцтво про акредитацію з безпеки УКР-НАТО ІКС — документально оформлений результат процесу, який підтверджує відповідність УКР-НАТО ІКС вимогам нормативно-правових актів з питань охорони та захисту інформації.
Інші терміни у цьому Порядку вживаються у значенні, наведеному в Адміністративних домовленостях, Законах України "Про Державну службу спеціального зв’язку та захисту інформації України", "Про захист інформації в інформаційно-комунікаційних системах", "Про державну таємницю", Положенні про технічний захист інформації в Україні, затвердженому Указом Президента України від 27 вересня 1999 року № 1229, Правилах забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженому постановою Кабінету Міністрів України від 18 грудня 2013 року № 939 (далі — Порядок 939), Типовій інструкції про порядок ведення обліку, зберігання, використання і знищення документів та інших матеріальних носіїв інформації, що містять службову інформацію, затвердженій постановою Кабінету Міністрів України від 19 жовтня 2016 року № 736, Правилах забезпечення охорони інформації НАТО з обмеженим доступом в Україні, затверджених наказом Служби безпеки України, Міністерства закордонних справ України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16 червня 2023 року № 224/ДСК/55/ДСК/157/ДСК, зареєстрованих в Міністерстві юстиції України 03 липня 2023 року за № 1129/40185 (далі — Правила), Інструкції з організації та забезпечення безпеки криптографічного захисту службової інформації, затвердженій наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 24 червня 2019 року № 102/ДСК, зареєстрованій в Міністерстві юстиції України 28 серпня 2019 року за № 993/33964.
4. Відповідно до пункту 1 статті 3 Адміністративних домовленостей грифи обмеження доступу України та НАТО співвідносяться таким чином:
| В Україні | У НАТО |
| Цілком таємно (далі — ЦТ) | NATO SECRET (далі — NS) |
| Таємно (далі — Т) | NATO CONFIDENTIAL (далі — NC) |
| Для службового користування (далі — ДСК) | NATO RESTRICTED (далі — NR) |
5. Об’єктом акредитації з безпеки є УКР-НАТО ІКС.
6. Суб’єктами акредитації з безпеки УКР-НАТО ІКС є:
національний БАО;
орган безпеки;
власник УКР-НАТО ІКС.
II. Особливості захисту інформації НАТО в УКР-НАТО ІКС
1. Загальні аспекти
1. УКР-НАТО ІКС підлягають обов’язковій акредитації з безпеки. Акредитація з безпеки УКР-НАТО ІКС здійснюється з метою встановлення достатнього рівня захисту УКР-НАТО ІКС та інформації НАТО, яка обробляється в УКР-НАТО ІКС, а також підтримки цього рівня з урахуванням умов конфіденційності, цілісності, доступності, безвідмовності та ідентифікації.
Для досягнення цих цілей має застосовуватися збалансований набір заходів безпеки (фізичної, персоналу, інформації, УКР-НАТО ІКС), а саме:
забезпечення конфіденційності, цілісності та доступності інформації шляхом контролю доступу до інформації НАТО з обмеженим доступом, яка обробляється в УКР-НАТО ІКС, підтримки системних сервісів і ресурсів;
забезпечення надійної ідентифікації та автентифікації осіб, пристроїв і сервісів, які мають доступ до УКР-НАТО ІКС, підтвердження ідентифікації та автентифікації користувачів УКР-НАТО ІКС;
неухильне дотримання користувачами інструкцій, правил роботи в УКР-НАТО ІКС.
2. Вимоги з безпеки в УКР-НАТО ІКС визначаються нормативно-правовими актами України, зокрема цим Порядком та імплементованими нормативними документами НАТО в сфері охорони та захисту інформації відповідно до вищого ступеня обмеження доступу до інформації, яка буде оброблятися в УКР-НАТО ІКС, умов і особливостей функціонування конкретної УКР-НАТО ІКС.
3. Акредитація з безпеки УКР-НАТО ІКС з грифами обмеження доступу ДСК/NR, які мають мережеві з’єднання, Т/NC, ЦТ/NS здійснюється відповідно до вимог цього Порядку з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив.
Акредитація з безпеки УКР-НАТО ІКС з грифом обмеження доступу ДСК/NR, які не мають мережевих з’єднань, здійснюється відповідно до національної процедури шляхом підтвердження відповідності комплексної системи захисту інформації з урахуванням вимог нормативного документа НАТО AC/322-D/0048-REV3 (INV). Technical and Implementation Directive on CIS Security.
4. Забезпечення захисту інформації в УКР-НАТО ІКС має здійснюватися протягом усього життєвого циклу УКР-НАТО ІКС у всіх режимах її функціонування та на всіх технологічних етапах обробки інформації.
5. Власник УКР-НАТО ІКС зобов’язаний негайно інформувати національний БАО та орган безпеки про будь-які події, що можуть вплинути на безпеку УКР-НАТО ІКС.
6. Національний БАО надає консультативну та методичну допомогу власникам УКР-НАТО ІКС, проводить перевірку впроваджених заходів безпеки в УКР-НАТО ІКС щодо їх відповідності вимогам законодавства та надає рекомендації стосовно коригувальних заходів.
2. Служба захисту інформації або призначені особи, відповідальні за забезпечення захисту інформації НАТО з обмеженим доступом в УКР-НАТО ІКС
1. Власник УКР-НАТО ІКС утворює службу захисту інформації або призначає відповідальних осіб за забезпечення охорони та захисту інформації НАТО з обмеженим доступом в УКР-НАТО ІКС (далі — СЗІ/ПО УКР-НАТО ІКС), на яку (-их) покладається завдання з організації, координації та виконання робіт із побудови УКР-НАТО ІКС та забезпечення в межах компетенції охорони та захисту інформації НАТО з обмеженим доступом, адміністрування і контролю.
2. Функції СЗІ/ПО УКР-НАТО ІКС:
розробка та погодження організаційно-технічних рішень на створення УКР-НАТО ІКС;
визначення необхідної (обґрунтованої) кількості користувачів УКР-НАТО ІКС та їх прав доступу до УКР-НАТО ІКС;
розробка та погодження з національним БАО документів з безпеки УКР-НАТО ІКС в обсязі, визначеному пунктом 1 глави 2 розділу III цього Порядку;
проведення в межах компетенції інструктажів і навчань користувачів УКР-НАТО ІКС з питань охорони та захисту інформації в УКР-НАТО ІКС;
оформлення, збереження та ведення технічної та експлуатаційної документації на УКР-НАТО ІКС;
проведення періодичної перевірки середовища безпеки УКР-НАТО ІКС, технічних засобів, облікових записів користувачів УКР-НАТО ІКС;
проведення заходів спільно з підрозділом реєстрації документів НАТО щодо з’ясування та усунення обставин, що призвели до порушень безпеки в УКР-НАТО ІКС, інформування про це національного БАО, а також за фактами виявлених порушень проведення службових розслідувань, службової перевірки, розслідування інциденту інформаційної безпеки тощо (далі — службові розслідування) в порядку, встановленому законодавством;
забезпечення експлуатації, функціонування, налаштування апаратних, програмних, програмно-апаратних засобів захисту інформації УКР-НАТО ІКС та здійснення поточного контролю за ними;
проведення заходів щодо виведення УКР-НАТО ІКС з експлуатації.
3. СЗІ/ПО УКР-НАТО ІКС спільно з підрозділом реєстрації документів НАТО здійснює оцінку ризиків безпеки УКР-НАТО ІКС, керуючись військовим стандартом "ВСТ 01.008.002–2021 (01). "Захист інформації з обмеженим доступом. Управління ризиками з безпеки комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1017-REV3, Guidelines for Security Risk Management (SRM) оf Communication and Information Systems (CIS), IDT)".
4. Результати оцінки ризиків безпеки оформлюються в окремий документ (Оцінка ризиків безпеки УКР-НАТО ІКС), який затверджується власником УКР-НАТО ІКС та зберігається у нього.
СЗІ/ПО УКР-НАТО ІКС протягом життєвого циклу УКР-НАТО ІКС здійснює періодичну оцінку ризиків безпеки з метою актуалізації процесів управління активами та протидії загрозам.
5. СЗІ/ПО УКР-НАТО ІКС повинна забезпечити виконання заходів безпеки для охорони та захисту інформації в УКР-НАТО ІКС відповідно до вимог національних нормативно-правових актів з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив.
Заходи з безпеки повинні виконуватися протягом усього життєвого циклу УКР-НАТО ІКС.
Заходи з безпеки УКР-НАТО ІКС мають постійно оновлюватися та доповнюватися актуальними вимогами із забезпечення охорони та захисту інформації НАТО з обмеженим доступом.
3. Користувачі УКР-НАТО ІКС
1. Користувачі, яким надається доступ до інформації, що циркулює в УКР-НАТО ІКС і має гриф обмеження доступу Т/NC і вище, а також особи, які не мають безпосередньо доступу до інформації, яка обробляється в УКР-НАТО ІКС, але мають доступ до підтримуючих системних сервісів і ресурсів, повинні мати відповідну форму допуску до державної таємниці та сертифікат особового допуску НАТО.
2. Користувачі УКР-НАТО ІКС зобов’язані дотримуватися вимог щодо забезпечення режиму обмеження доступу під час роботи в УКР-НАТО ІКС та обробки інформації НАТО з обмеженим доступом.
4. Вимоги щодо фізичного середовища УКР-НАТО ІКС
1. Власник УКР-НАТО ІКС визначає приміщення/зони, в яких буде розташована УКР-НАТО ІКС, з урахуванням вимог Порядку 939, Правил та з дотриманням вимог нормативного документа НАТО AC/35-D/2001-REV3. Directive on Physical Security.
2. При визначенні рівня (оцінки ризику безпеки) фізичної безпеки приміщення/зони, в якому(-ій) має бути реалізовано фізичний захист інформації, необхідно враховувати основні критерії оцінки відповідно до вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив, а саме:
категорію та ступінь обмеження доступу до інформації;
кількість (Мб, томи, аркуші, вироби) та вид (електронний, паперовий, окремі вироби тощо) інформації з обмеженим доступом, яка зберігається та/або обробляється в приміщенні/зоні та УКР-НАТО ІКС;
контроль за доступом до приміщень/зон з визначенням переліку осіб, які мають право доступу до цих приміщень/зон;
загрози від ворожих спецслужб, а також внутрішні загрози (тероризм, шпигунство, диверсії, саботаж, організована злочинність).
3. Заходи з фізичної безпеки розробляються з метою:
своєчасного виявлення та стримування внутрішніх загроз, а також запобігання виникненню цих загроз;
контролю та обмеження кола осіб, яким надається доступ до приміщень/зон відповідно до їх посадових обов’язків, форми допуску до державної таємниці та рівня сертифікатів особового допуску НАТО;
запобігання, виявлення загроз безпеки та негайного вжиття заходів, спрямованих на їх усунення.
5. Криптографічний захист інформації НАТО з обмеженим доступом в УКР-НАТО ІКС
1. Для передачі інформації НАТО з обмеженим доступом в УКР-НАТО ІКС за межі приміщення (зони) необхідно здійснювати криптографічний захист інформації за допомогою криптографічного обладнання.
2. Порядок застосування криптографічного обладнання та матеріалів для захисту інформації НАТО з обмеженим доступом визначено в розділі 11 "Криптографічна безпека" додатка "F" політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO)
3. Для передачі інформації НАТО з грифом обмеження доступу ЦТ/NS в УКР-НАТО ІКС використовується сертифіковане криптографічне обладнання відповідно до переліку, затвердженого Військовим комітетом НАТО.
4. Для передачі інформації НАТО з грифом обмеження доступу Т/NC або ДСК/NR в УКР-НАТО ІКС використовується сертифіковане криптографічне обладнання відповідно до переліку, затвердженого Військовим комітетом НАТО або державою — членом НАТО.
5. Вибір сертифікованого криптографічного обладнання здійснює власник УКР-НАТО ІКС за погодженням з національним БАО.
6. Вибір і погодження використання криптографічного обладнання здійснюються відповідно до процедур, визначених нормативним документом НАТО MCM-0008-2020 Process for Non-NATO Nations and International Organizations for the Provision and Procurement of NATO-Approved Cryptographic Systems.
7. Отримання, контроль, видача, експлуатація та виведення з експлуатації криптографічних матеріалів та засобів криптографічного захисту інформації (криптографічне обладнання) НАТО (апаратних/програмних засобів і ключів до них) здійснюються органом спеціального зв’язку/службою криптографічного захисту інформації власника УКР-НАТО ІКС через Головний центр реєстрації документів НАТО з обмеженим доступом Міністерства закордонних справ України (далі — Головний центр) та підрозділи реєстрації документів НАТО.
Проведення таких процедур відбувається під контролем національного БАО та органу безпеки відповідно до вимог національних нормативно-правових актів з урахуванням нормативних документів НАТО з питань охорони та захисту інформації.
III. Порядок проведення акредитації з безпеки УКР-НАТО ІКС
Акредитація з безпеки УКР-НАТО ІКС є безперервним і цілісним процесом, що складається з таких послідовних взаємопов’язаних етапів:
початковий етап акредитації з безпеки УКР-НАТО ІКС;
погодження документів з безпеки УКР-НАТО ІКС;
перевірка середовища безпеки УКР-НАТО ІКС;
тестування безпеки УКР-НАТО ІКС;
прийняття рішення про акредитацію з безпеки УКР-НАТО ІКС.
1. Початковий етап акредитації з безпеки УКР-НАТО ІКС
1. Власник УКР-НАТО ІКС (СЗІ/ПО УКР-НАТО ІКС спільно з підрозділом реєстрації документів НАТО) формує заявку на проведення акредитації з безпеки УКР-НАТО ІКС (далі — Заявка), яка надсилається до національного БАО для розгляду.
Примірник Заявки також надсилається до органу безпеки.
2. Заявка повинна містити інформацію про УКР-НАТО ІКС та умови і особливості її функціонування:
1) назву УКР-НАТО IKC;
2) повне найменування власника УКР-НАТО ІКС, місцезнаходження, код згідно з ЄДРПОУ, контактний телефон відповідальної особи та адресу електронної пошти;
3) найвищий гриф обмеження доступу до інформації, яка буде зберігатися, оброблятися та передаватися в УКР-НАТО ІКС;
4) детальний опис вимог щодо обміну інформацією в УКР-НАТО ІКС:
кількість робочих місць;
тип інформації;
своєчасність (у реальному часі, майже в реальному часі, не в реальному часі);
об’єм інформації та частота її обміну (наприклад: текстові повідомлення, не в реальному часі, до 100 Мб, двічі на тиждень);
перелік органів і структурних підрозділів НАТО, з якими планується обмін інформацією НАТО з обмеженим доступом, а також тематика, за якою буде здійснюватися такий обмін (кіберзахист, навчання, операції тощо). Якщо обмін інформацією з органами та структурними підрозділами НАТО не планується, про це необхідно зазначити;
необхідні режими обміну інформацією НАТО (електронна пошта, голосовий зв’язок, відеоконференцзв’язок);
5) місцезнаходження приміщень/зон, де буде розташована УКР-НАТО ІКС;
6) наявність спеціального дозволу на провадження діяльності, пов’язаної з державною таємницею (категорія режиму секретності, номер, термін дії) (для ІКС, які призначені для обробки інформації з грифом T/NC та/або ЦТ/NS);
7) наявність відповідної форми допуску до державної таємниці України та сертифікатів особового допуску НАТО в осіб, які виконують роботи з УКР-НАТО ІКС.
3. Для УКР-НАТО ІКС з грифами обмеження доступу ДСК/NR, які мають мережеві з’єднання, Т/NC, ЦТ/NS, до Заявки додаються Оцінка ризиків безпеки УКР-НАТО ІКС відповідно до вимог військового стандарту ВСТ 01.008.002–2021 (01). "Захист інформації з обмеженим доступом. Управління ризиками з безпеки комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1017-REV3, Guidelines for Security Risk Management (SRM) оf Communication and Information Systems (CIS), IDT)" та Опис УКР-НАТО ІКС (склад робочих місць, схема організації зв’язку, особливості УКР-НАТО ІКС).
4. Для УКР-НАТО ІКС з грифом обмеження доступу ДСК/NR, які не мають мережевих з’єднань, до Заявки додається Декларація про відповідність комплексної системи захисту інформації вимогам нормативних документів з технічного захисту інформації або Атестат відповідності комплексної системи захисту інформації.
Для акредитації таких систем проводиться перевірка виконання вимог нормативного документа НАТО AC/322-D/0048-REV3 (INV). Technical and Implementation Directive on CIS Security та за результатами перевірки приймається рішення про акредитацію з безпеки.
5. Протягом десяти робочих днів після отримання Заявки від власника УКР-НАТО ІКС національний БАО розглядає її та за результатами розгляду повідомляє власника УКР-НАТО ІКС і орган безпеки про початок процесу акредитації з безпеки УКР-НАТО ІКС та про необхідність надання кандидатур до складу комісії з перевірки середовища безпеки та тестування безпеки УКР-НАТО ІКС (далі — Комісія) або про відмову у проведенні такої акредитації, у разі виявлення в наданих власником УКР-НАТО ІКС документах недостовірних відомостей або недоцільності функціонування такої УКР-НАТО ІКС.
6. З метою проведення перевірки середовища безпеки та тестування безпеки УКР-НАТО ІКС національний БАО утворює Комісію, до складу якої входять співробітники національного БАО та органу безпеки.
7. Національний БАО своїм наказом затверджує склад Комісії та План акредитації з безпеки конкретної УКР-НАТО ІКС.
План акредитації з безпеки УКР-НАТО ІКС має містити такі заходи:
визначення власником УКР-НАТО ІКС постачальника послуг, апаратного та/або програмного забезпечення, необхідних для належного функціонування УКР-НАТО ІКС;
проведення погодження документів з безпеки УКР-НАТО ІКС;
проведення перевірки середовища безпеки УКР-НАТО ІКС;
проведення тестування безпеки УКР-НАТО ІКС.
8. У разі відмови у проведенні акредитації з безпеки УКР-НАТО ІКС національний БАО готує рішення із зазначенням причин відмови та письмово інформує про це власника УКР-НАТО ІКС.
2. Погодження документів з безпеки УКР-НАТО ІКС
1. Власник УКР-НАТО ІКС зобов’язаний надати на погодження національному БАО документи з безпеки УКР-НАТО ІКС відповідно до нормативних документів НАТО або їх національний еквівалент:
опис УКР-НАТО ІКС;
оцінка ризиків безпеки УКР-НАТО ІКС;
положення про вимоги безпеки УКР-НАТО ІКС (AC/35-D/1015-REV4. Guidelines for the Development of Security Requirement Statements (SRSs));
заходи щодо забезпечення захисту УКР-НАТО ІКС (ВСТ 01.008.001-2021 (01). "Захист інформації з обмеженим доступом. Структура та зміст процедур з безпеки для комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1014-REV3, Guidelines for the Structure and Content of Security Operating Procedures (SecOPs) for Communication and Information Systems (CIS), IDT)";
інші документи, що підтверджують виконання заходів безпеки в УКР-НАТО ІКС (за наявності).
2. Документи з безпеки УКР-НАТО ІКС розробляються українською та за вимогою національного БАО — англійською мовами.
3. Під час погодження документів з безпеки УКР-НАТО ІКС національний БАО може звернутися до власника системи за наданням коментарів і роз’яснень до наданих документів.
4. У разі виявлення недоліків (розбіжностей) у документах з безпеки УКР-НАТО ІКС або невідповідності їх вимогам національних нормативно-правових актів з урахуванням нормативних документів НАТО з питань охорони та захисту інформації про це інформується власник УКР-НАТО ІКС. Документи з безпеки УКР-НАТО ІКС повертаються власнику УКР-НАТО ІКС для доопрацювання та усунення недоліків.
5. Після усунення недоліків власник УКР-НАТО ІКС повторно надсилає документи на погодження.
3. Перевірка середовища безпеки УКР-НАТО ІКС
1. Комісія проводить перевірку середовища безпеки, в якому буде експлуатуватися УКР-НАТО ІКС відповідно до вимог національних нормативно-правових актів з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO), підтримуючих директив та наявної оцінки ризиків безпеки УКР-НАТО ІКС.
2. Власник УКР-НАТО ІКС зобов’язаний забезпечити створення умов, необхідних для проведення перевірки середовища безпеки УКР-НАТО ІКС.
3. Про час проведення перевірки середовища безпеки УКР-НАТО ІКС національний БАО письмово повідомляє власника УКР-НАТО ІКС.
4. За результатами проведення перевірки середовища безпеки, в якому буде експлуатуватися УКР-НАТО ІКС, Комісія готує відповідний висновок у довільній формі, в якому зазначається інформація про відповідність (невідповідність) середовища безпеки вимогам національних нормативно-правових актів з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив.
У разі виявлення порушень під час перевірки середовища безпеки УКР-НАТО ІКС інформація про такі порушення вноситься до висновку про результати перевірки.
5. Висновок підписують члени Комісії та затверджує її Голова.
Примірники висновку надсилаються до національного БАО та органу безпеки.
6. Національний БАО протягом десяти робочих днів письмово інформує власника УКР-НАТО ІКС щодо необхідності усунення виявлених порушень або про завершення перевірки середовища безпеки УКР-НАТО ІКС.
7. Власник УКР-НАТО ІКС вживає заходів щодо усунення порушень і за результатами усунення письмово інформує національний БАО.
8. Національний БАО після отримання листа від власника УКР-НАТО ІКС про усунення порушень протягом десяти робочих днів організовує проведення Комісією контрольної перевірки середовища безпеки УКР-НАТО ІКС.
4. Тестування безпеки УКР НАТО ІКС
1. Власник УКР-НАТО ІКС письмово інформує Національний БАО про готовність до проведення тестування безпеки УКР-НАТО ІКС.
2. До проведення тестування безпеки УКР-НАТО ІКС, у разі потреби, залучаються члени Комісії. Також до тестувань з безпеки УКР-НАТО ІКС можуть бути залучені представники постачальника апаратних та/або програмних засобів УКР-НАТО ІКС.
3. За результатами тестування безпеки власник УКР-НАТО ІКС розробляє та надає Комісії протокол проведення тестування безпеки УКР-НАТО ІКС.
4. Комісія після отримання протоколу проведення тестування безпеки перевіряє його щодо повноти, об’єктивності, достатності, а також здійснює оцінку результатів тестування.
5. За результатами перевірки та оцінки наданих матеріалів Комісія готує відповідний висновок і разом з протоколом проведення тестування безпеки надсилає його до національного БАО.
6. У разі надання Комісією зауважень за результатами тестування безпеки УКР-НАТО ІКС національний БАО повертає надані матеріали власнику УКР-НАТО ІКС для доопрацювання та усунення недоліків.
5. Прийняття рішення про акредитацію з безпеки УКР-НАТО ІКС
1. За результатами проведених перевірок та з урахуванням висновків Комісії національний БАО приймає рішення про акредитацію/тимчасову акредитацію або відмову в акредитації з безпеки УКР-НАТО ІКС із зазначенням причин.
2. Національний БАО видає власнику УКР-НАТО ІКС свідоцтво про акредитацію з безпеки УКР-НАТО ІКС (далі — Свідоцтво) за формою згідно з додатком до цього Порядку.
Свідоцтво підписує Голова національного БАО.
Строк дії Свідоцтва становить 3 (три) роки.
3. У разі наявності в УКР-НАТО ІКС незначних недоліків безпеки національний БАО приймає рішення про тимчасову акредитацію з безпеки УКР-НАТО ІКС (далі — тимчасова акредитація) із чітким зазначенням умов тимчасової акредитації та заходів, яких необхідно вжити (наприклад, додаткові контрзаходи/гарантії або остаточне затвердження документів з безпеки).
Строк дії тимчасової акредитації становить 6 (шість) місяців.
4. У разі невиконання власником УКР-НАТО ІКС заходів, визначених в умовах тимчасової акредитації, національний БАО приймає рішення про її скасування, про що письмово інформує власника УКР-НАТО ІКС.
5. Строк прийняття рішення та видача Свідоцтва не може перевищувати 15 робочих днів з дня реєстрації останнього висновку Комісії щодо результатів проведення перевірок.
6. Після отримання Свідоцтва власник УКР-НАТО ІКС вживає заходів щодо введення УКР-НАТО ІКС в експлуатацію.
IV. Післяакредитаційні заходи
1. Національний БАО здійснює контроль за виконанням заходів з безпеки УКР-НАТО ІКС шляхом проведення перевірок результатів періодичних оцінок ризиків безпеки та стану виконання заходів з безпеки, наданих СЗІ/ПО УКР-НАТО ІКС відповідно до вимог національних нормативно-правових актів з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив.
2. Національний БАО, у разі потреби, протягом усього життєвого циклу УКР-НАТО ІКС проводить підтвердження акредитації з безпеки УКР-НАТО ІКС, внаслідок настання подій, які можуть призвести до необхідності повторної акредитації з безпеки УКР-НАТО ІКС, визначених ВСТ 01.008.004-2021 (01). "Захист інформації з обмеженим доступом. Акредитація з безпеки комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1021-REV3, Guidelines for the Security Accreditation of Communication and Information Systems (CIS), IDT)".
3. Національний БАО протягом життєвого циклу УКР-НАТО ІКС надає СЗІ/ПО УКР-НАТО ІКС консультації та рекомендації щодо:
внесення змін до архітектури та конфігурації УКР-НАТО ІКС;
внесення змін до експлуатаційних вимог УКР-НАТО ІКС;
зміни грифа обмеження доступу інформації НАТО, яка обробляється в УКР-НАТО ІКС;
внесення змін до документів з безпеки УКР-НАТО ІКС;
порядку виведення з експлуатації УКР-НАТО ІКС;
інших питань з безпеки експлуатації УКР-НАТО ІКС.
4. Співробітники СЗІ/ПО УКР-НАТО ІКС та органу спеціального зв’язку/ служби криптографічного захисту, користувачі та особи, які провадять роботи в УКР-НАТО ІКС, повинні постійно (не рідше одного разу на рік) підвищувати кваліфікацію шляхом участі в освітніх заходах і навчальних програмах з питань охорони та захисту інформації в інформаційно-комунікаційних системах.
5. СЗІ/ПО УКР-НАТО ІКС здійснює постійну оцінку ризиків безпеки, яка має враховувати актуальні загрози та вразливості, сучасні доступні технічні рішення, що мають усунути залишкові ризики до прийнятного рівня.
Якщо поточний залишковий ризик є неприйнятним, необхідно вжити додаткових заходів безпеки, щоб зменшити його до прийнятного рівня.
6. СЗІ/ПО УКР-НАТО ІКС не рідше ніж один раз на рік забезпечує проведення періодичних технічних та/або фізичних перевірок приміщень/зон, де циркулює інформація НАТО з обмеженим доступом, щодо ризику пасивного/активного прослуховування.
7. У разі виникнення будь-яких порушень вимог з безпеки в УКР-НАТО ІКС або в приміщеннях/зонах, де розташована УКР-НАТО ІКС, власник УКР-НАТО ІКС за поданням СЗІ/ПО УКР-НАТО ІКС забороняє обробку інформації НАТО з обмеженим доступом та проводить заходи щодо усунення цих порушень.
Про зазначене власник УКР-НАТО ІКС інформує національний БАО, орган безпеки та Головний центр.
За фактом порушень у місячний строк власник УКР-НАТО ІКС проводить службове розслідування в порядку, встановленому законодавством.
До проведення службових розслідувань залучаються СЗІ/ПО УКР-НАТО ІКС і підрозділ реєстрації документів НАТО.
8. Національний БАО надає консультативну допомогу СЗІ/ПО УКР-НАТО ІКС у проведенні службових розслідувань у випадку виявлення будь-яких порушень або підозри на порушення вимог з безпеки.
9. Національний БАО веде облік усіх УКР-НАТО ІКС, що отримали Свідоцтво, а також тих, що знаходяться в процесі акредитації.
V. Виведення з експлуатації/утилізація обладнання УКР-НАТО ІКС
1. Власник УКР-НАТО ІКС приймає рішення про виведення з експлуатації/утилізації обладнання своєї системи. Після прийняття рішення готується вмотивований запит до національного БАО, в якому зазначається фактична інформація про УКР-НАТО ІКС, а саме:
назва УКР-НАТО ІКС;
місцезнаходження УКР-НАТО ІКС;
склад УКР-НАТО ІКС та/або окреме обладнання зі складу УКР-НАТО ІКС та/або матеріальні носії інформації;
причина виведення з експлуатації;
номер і дата реєстрації Свідоцтва;
технічна та експлуатаційна документація на УКР-НАТО ІКС (назва, реєстраційний номер і дата документа).
2. Вмотивований запит готується за підписом керівника власника УКР-НАТО ІКС.
3. За результатами розгляду запиту національний БАО приймає рішення про погодження виведення з експлуатації/утилізації обладнання УКР-НАТО ІКС, про що письмово інформує власника УКР-НАТО ІКС.
4. Національний БАО координує дії власника УКР-НАТО ІКС щодо процедури утилізації та/або знищення обладнання, матеріальних носіїв інформації УКР-НАТО ІКС відповідно до вимог національних нормативно-правових актів з урахуванням нормативних документів НАТО з питань охорони та захисту інформації.
5. Орган спеціального зв’язку/служба криптографічного захисту інформації власника УКР-НАТО ІКС надсилає на погодження до національного БАО відповідний запит на виведення з експлуатації криптографічних матеріалів і засобів криптографічного захисту інформації (криптографічного обладнання) (апаратних/програмних засобів і ключів до них). Запит повинен містити інформацію про УКР-НАТО ІКС і перелік криптоматеріалів та засобів криптографічного захисту інформації, які планується вивести з експлуатації.
Після погодження Орган спеціального зв’язку/служба криптографічного захисту інформації власника УКР-НАТО ІКС у координації з національним БАО здійснює виведення з експлуатації криптографічних матеріалів і засобів криптографічного захисту інформації (криптографічне обладнання) (апаратних/програмних засобів і ключів до них), про що інформує підрозділ реєстрації документів НАТО.
6. Після завершення процедури виведення з експлуатації УКР-НАТО ІКС власник УКР-НАТО ІКС складає відповідний акт.
Акт має містити інформацію про окремі складові частини УКР-НАТО ІКС та УКР-НАТО ІКС у цілому із зазначенням актів виведення з експлуатації (знищення) окремих складових частин УКР-НАТО ІКС.
Примірник акта надсилається до національного БАО та Головного центру.
| Директор Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України | Олександр ГРИЩЕНКО |
Додаток
до Порядку акредитації з безпеки
комунікаційно-інформаційних систем
(інформаційно-комунікаційних систем),
де обробляється інформація НАТО
з обмеженим доступом
(пункт 2 глави 5 розділу III)
СВІДОЦТВО
ПРО АКРЕДИТАЦІЮ З БЕЗПЕКИ УКР-НАТО ІКС
( Див. текст )