Про створення служби захисту інформації кваліфікованого надавача електронних довірчих послуг органів прокуратури України

Відповідно до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" , Вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07.11.2018 № 992, Типового положення про службу захисту інформації в автоматизованій системі НД ТЗІ 1.4-001-2000, затвердженого наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 04.12.2000 № 53, з метою забезпечення завдань керування комплексною системою захисту інформації інформаційно-телекомунікаційної системи кваліфікованого надавача електронних довірчих послуг органів прокуратури України та здійснення контролю за її функціонуванням, керуючись статтями 8, 9 Закону України "Про прокуратуру" ,

1. Створити службу захисту інформації кваліфікованого надавача електронних довірчих послуг органів прокуратури України (далі - КНЕДП ОПУ) у складі:

2. Службі захисту інформації КНЕДП ОПУ забезпечити:

- виконання робіт з визначення вимог із захисту інформації в інформаційно-телекомунікаційній системі КНЕДП ОПУ (далі - ІТС КНЕДП);

- проєктування, розроблення і модернізацію комплексної системи захисту інформації ІТС КНЕДП (далі - КСЗІ ІТС КНЕДП);

- експлуатацію, обслуговування, підтримку працездатності КСЗІ ІТС КНЕДП;

- контроль за станом захищеності інформації в ІТС КНЕДП.

3. Затвердити Положення про службу захисту інформації кваліфікованого надавача електронних довірчих послуг органів прокуратури України, що додається.

4. Контроль за виконанням цього наказу покласти на першого заступника Генерального прокурора Говду Р.М.

5. Визнати таким, що втратив чинність, наказ Генеральної прокуратури України від 05 листопада 2018 року № 222 "Про створення служби захисту інформації Центру сертифікації ключів Генеральної прокуратури України".

1. Це Положення визначає структуру, склад, завдання, функції та повноваження служби захисту інформації (далі - СЗІ) кваліфікованого надавача електронних довірчих послуг органів прокуратури України (далі - КНЕДП).

2. СЗІ створюється наказом Генерального прокурора з метою організаційного забезпечення завдань керування комплексною системою захисту інформації (далі - КСЗІ) КНЕДП та здійснення контролю за її функціонуванням.

3. У своїй діяльності СЗІ керується Конституцією України, Законами України "Про прокуратуру", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про захист персональних даних", "Про державну службу", "Про електронні довірчі послуги", Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27.09.99 № 1229/99, Вимогами у сфері електронних довірчих послуг, затвердженими постановою Кабінету Міністрів України від 07.11.2018 № 992, Правилами забезпечення захисту інформації в інформаційних, телекомунікаційних та в інформаційно-телекомунікаційних системах, затвердженими постановою Кабінету Міністрів України від 29.03.2006 № 373, Типовим положенням про службу захисту інформації в автоматизованій системі (НД ТЗІ 1.4-001-2000), затвердженим наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 04.12.2000 № 53, іншими нормативно-правовими актами, державними і галузевими стандартами, наказами Генерального прокурора з питань забезпечення захисту інформації, а також цим Положенням.

4. СЗІ організовує свою роботу у взаємодії зі структурними підрозділами Офісу Генерального прокурора, прокуратурами всіх рівнів, державними органами, підприємствами, установами та організаціями у сфері захисту інформації.

5. СЗІ здійснює діяльність відповідно до Плану захисту інформації та інших планів роботи, затверджених керівництвом Офісу Генерального прокурора.

6. Для проведення окремих заходів із захисту інформації в інформаційно-телекомунікаційній системі КНЕДП (далі - ІТС КНЕДП), які пов'язані з компетенцією інших підрозділів, наказом Генерального прокурора визначаються перелік, строки виконання та підрозділи для виконання цих робіт.

7. Матеріально-технічну базу для забезпечення діяльності СЗІ становлять засоби захисту інформації, програмне забезпечення, технічне та інженерне обладнання, засоби вимірювань і контролю, відповідна документація, а також інші засоби й обладнання, необхідні для виконання СЗІ покладених на неї завдань.

8. Засоби захисту інформації та захищені засоби, що використовуються працівниками СЗІ при виконанні своїх службових обов'язків, повинні мати одержане в установленому порядку підтвердження відповідності вимогам нормативних документів у сфері захисту інформації.

9. Матеріально-технічне та інше спеціальне забезпечення СЗІ здійснюється в установленому в Офісі Генерального прокурора порядку.

10. Персональний склад СЗІ затверджується наказом Генерального прокурора.

Виконання функцій СЗІ покладається на працівників Офісу Генерального прокурора, які мають вищу технічну чи юридичну освіту, практичний досвід роботи з автоматизованими інформаційними системами, володіють навичками з розробки, впровадження, експлуатації КСЗІ та засобів захисту інформації, а також з реалізації організаційних, технічних та інших заходів із захисту інформації, знаннями і вмінням застосовувати нормативно-правові документи у сфері захисту інформації.

11. При покладенні на працівника функцій СЗІ з метою забезпечення конфіденційності робіт ним надається письмове зобов'язання щодо нерозголошення відомостей, що становлять службову або іншу таємницю і які стали йому відомі в період роботи в КНЕДП, у тому числі про персональні дані.

12. Безпосереднє керівництво роботою СЗІ здійснює його начальник. У разі відсутності начальника СЗІ його обов'язки виконує член СЗІ - адміністратор безпеки та аудиту КНЕДП.

1. Виконання робіт, пов'язаних із визначенням вимог щодо захисту інформації в КНЕДП.

2. Участь у проєктуванні, розробленні, експлуатації, обслуговуванні, підтримці працездатності КНЕДП та контролі за станом захищеності інформації.

3. Захист у межах компетенції прав користувачів КНЕДП щодо безпеки інформації КНЕДП, його персоналу в процесі інформаційної діяльності та взаємодії між собою, структурними підрозділами Офісу Генерального прокурора, прокуратурами всіх рівнів, державними органами, підприємствами, установами та організаціями у сфері захисту інформації.

4. Дослідження технології обробки інформації в КНЕДП з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію.

5. Організація та координація робіт, пов'язаних із захистом інформації в КНЕДП, у порядку, передбаченому законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій.

6. Участь у розробленні проєктів організаційно-розпорядчих документів Офісу Генерального прокурора з питань безпеки та захисту інформації в КНЕДП, правил експлуатації КСЗІ, контролю за їх дотриманням.

7. Організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу ІТС КНЕДП.

8. Участь в організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів КНЕДП з питань захисту інформації.

9. Організація виконання персоналом і користувачами КНЕДП вимог нормативно-правових актів, організаційно-розпорядчих документів із захисту інформації в КНЕДП, проведення перевірок їх виконання.

1. Основними функціями СЗІ під час впровадження комплексної системи захисту інформації є:

- визначення переліку відомостей, які підлягають захисту в процесі обробки, інших об'єктів захисту в ІТС, класифікації інформації за вимогами до її конфіденційності або важливості для Офісу Генерального прокурора, необхідних рівнів захищеності інформації, визначення порядку введення (виведення) та використання інформації в ІТС;

- розроблення та коригування моделі загроз і моделі порушника, політики безпеки інформації в ІТС;

- визначення і формування вимог до КСЗІ;

- організація і координація, спільно з відповідним підрозділом Офісу Генерального прокурора, робіт з проєктування та розроблення КСЗІ, безпосередня участь у проєктних роботах зі створення КСЗІ;

- підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ;

- організація робіт і участь у випробуваннях КСЗІ, у проведенні її експертизи;

- вибір організацій-виконавців робіт зі створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт із захисту інформації, погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, техноробочий проєкт, програма і методика випробувань, плани робіт тощо);

- участь у розробленні проєктів організаційно-розпорядчих документів, які встановлюють правила доступу користувачів до ресурсів ІТС, визначають порядок, норми, правила захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій тощо), відповідальність за порушення вимог щодо безпеки інформації та встановлених правил експлуатації КСЗІ.

2. Основними функціями СЗІ під час експлуатації комплексної системи захисту інформації є:

- організація процесу управління КСЗІ;

- розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження бази даних таких подій;

- вжиття заходів у разі виявлення спроб несанкціонованого доступу до ресурсів ІТС, порушення правил експлуатації засобів захисту інформації або у разі наявності інших дестабілізуючих факторів;

- забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;

- організація управління доступом до ресурсів ІТС (розподіл між користувачами необхідних реквізитів захисту інформації: паролів, привілеїв, ключів тощо);

- супроводження та актуалізація бази даних захисту інформації (матриць доступу, класифікаційних міток об'єктів, ідентифікаторів користувачів тощо);

- спостереження (реєстрація та аудит подій в ІТС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;

- підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в ІТС, впровадження нових технологій захисту і модернізації КСЗІ;

- організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій в ІТС або КСЗІ;

- участь у роботах з модернізації ІТС, узгодження пропозицій щодо введення до її складу нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;

- забезпечення супроводження і актуалізації еталонних, архівних та резервних копій програмних компонентів КСЗІ, забезпечення їх зберігання і тестування;

- проведення аналітичного оцінювання поточного стану безпеки інформації в ІТС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки у поточній моделі загроз тощо);

- інформування користувачів ІТС про технічні можливості системи захисту інформації в ІТС і типові правила, встановлені для його персоналу;

- негайне втручання в процес роботи ІТС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з виявлення порушника;

- подання звітів керівництву Офісу Генерального прокурора про стан виконання користувачами ІТС вимог щодо захисту інформації;

- аналіз відомостей про технічні засоби захисту інформації нового покоління, обґрунтування пропозицій щодо придбання таких засобів;

- контроль за виконанням персоналом і користувачами ІТС вимог, норм, правил, інструкцій із захисту інформації відповідно до визначеної політики безпеки інформації;

- контроль за забезпеченням охорони і порядку зберігання документів (носіїв інформації), які містять відомості, що підлягають захисту;

- розроблення та реалізація комплексних заходів з безпеки інформації під час проведення нарад, переговорів тощо, здійснення їх технічного та інформаційного забезпечення.

3. Основними функціями СЗІ з організації навчання персоналу з питань забезпечення захисту інформації є:

- розроблення планів навчання і підвищення кваліфікації співробітників СЗІ та обслуговуючого персоналу ІТС;

- розроблення спеціальних програм навчання, які б враховували особливості технології обробки інформації в ІТС, необхідний рівень її захищеності тощо;

- участь в організації і проведенні навчання персоналу ІТС правилам роботи з КСЗІ, захищеними технологіями та ресурсами;

- взаємодія з державними органами, навчальними закладами, іншими організаціями з питань набуття та підвищення кваліфікації;

- участь у забезпеченні навчального процесу необхідною матеріальною базою, навчальними посібниками, нормативно-правовими актами, нормативними документами, методичною літературою тощо.

1. З метою виконання покладених завдань СЗІ має право:

- здійснювати контроль за діяльністю персоналу КНЕДП щодо виконання вимог нормативно-правових актів, організаційно-розпорядчих документів із захисту інформації;

- подавати керівництву Офісу Генерального прокурора пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки тощо у разі виявлення порушень політики безпеки або виникнення реальної загрози порушення безпеки;

- складати і подавати керівництву Офісу Генерального прокурора акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їх усунення;

- ініціювати у встановленому порядку проведення службового розслідування у разі виявлення порушень;

- отримувати доступ до робіт і документів персоналу КНЕДП, необхідних для оцінки вжитих заходів із захисту інформації та підготовки пропозицій щодо їх подальшого удосконалення;

- вносити пропозиції щодо залучення до виконання робіт із захисту інформації інших організацій, які мають ліцензії на відповідний вид діяльності;

- готувати пропозиції щодо забезпечення програмно-технічного комплексу КНЕДП (далі - ПТК КНЕДП) необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні, з метою забезпечення захисту інформації;

- надавати керівництву Офісу Генерального прокурора пропозиції щодо подання заяв до відповідних державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів захисту інформації;

- узгоджувати умови включення до складу ПТК КНЕДП нових компонентів та надавати керівництву Офісу Генерального прокурора пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів;

- надавати висновки з питань, що належать до компетенції СЗІ, які необхідні для здійснення виробничої діяльності організації, особливо технологій, доступ до яких обмежено, інших проєктів, що потребують технічної підтримки з боку співробітників СЗІ;

- вносити на розгляд керівництва Офісу Генерального прокурора пропозиції щодо узгодження планів і регламенту відвідування приміщень, в яких розташоване обладнання ІТС, сторонніми особами.

2. Обов'язки СЗІ:

- організовувати забезпечення повноти та якості виконання організаційно-технічних заходів із захисту інформації в КНЕДП;

- вчасно і в повному обсязі доводити до користувачів і персоналу КНЕДП інформацію про зміни в галузі захисту інформації, які їх стосуються;

- перевіряти відповідність прийнятих КНЕДП організаційно-розпорядчих документів щодо обробки інформації, здійснювати контроль за виконанням цих вимог;

- здійснювати перевірки стану захищеності інформації в КНЕДП;

- забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, установлених у ПТК КНЕДП;

- сприяти уповноваженим органам у проведенні перевірок стану захищеності інформації в ПТК КНЕДП, у разі необхідності брати у них участь;

- сприяти у межах компетенції (технічними та організаційними заходами) створенню та дотриманню умов щодо збереженості інформації, отриманої Офісом Генерального прокурора від інших відомств, організацій і приватних осіб;

- періодично, не рідше одного разу на півріччя, а також за потреби (у разі збоїв, відмови, аварій ПТК КНЕДП) подавати керівництву Офісу Генерального прокурора звіт про стан захищеності інформації в КНЕДП і дотримання користувачами та персоналом КНЕДП встановленого порядку і правил захисту інформації;

- негайно повідомляти керівництво Офісу Генерального прокурора про виявлені атаки та викритих порушників;

- забезпечувати ведення журналу адміністратора безпеки та аудиту в належному стані та контролювати ведення інших журналів;

- не рідше одного разу на тиждень перевіряти цілісність конвертів з особистими ключами КНЕДП та персоналу (основними та резервними), а також цілісність опечатування сейфів для зберігання особистих ключів, їх копій та іншої документації. У разі виявлення факту порушення упаковок або опечатування негайно інформувати уповноважені підрозділи та керівництво Офісу Генерального прокурора;

- забезпечувати якісне виконання організаційно-технічних заходів із захисту інформації;

- розробляти проєкти організаційно-розпорядчих документів щодо захисту інформації КНЕДП, контролювати їх виконання;

- своєчасно реагувати на спроби несанкціонованого доступу до ресурсів КНЕДП, порушення правил експлуатації засобів захисту інформації;

- брати участь у генерації ключів КНЕДП та його посадових осіб, формуванні для посадових осіб сертифікатів;

- брати участь у знищенні особистого ключа КНЕДП, контролювати правильність і своєчасність знищення посадовими особами КНЕДП особистих ключів;

- контролювати процес резервування сертифікатів, ключів та списків відкликаних сертифікатів, а також інших важливих ресурсів;

- організовувати розмежування доступу до ресурсів КНЕДП, зокрема розподілення між посадовими особами КНЕДП паролів, ключів, сертифікатів тощо;

- забезпечувати спостереження (реєстрацію, аудит, моніторинг подій у КНЕДП тощо) за функціонуванням КСЗІ;

- забезпечувати організацію та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ПТК КНЕДП;

- забезпечувати ведення, архівацію та відновлення еталонної бази даних сформованих сертифікатів;

- інформувати адміністратора безпеки та аудиту про події, що впливають на безпеку функціонування КНЕДП;

- організовувати експлуатацію та технічне обслуговування комплексу засобів захисту (далі - КЗЗ) ПТК КНЕДП;

- адмініструвати КЗЗ ПТК КНЕДП;

- брати участь у впровадженні та забезпеченні функціонування комплексної системи захисту інформації;

- вести журнал аудиту подій, що реєструються засобами ПТК КНЕДП;

- встановлювати та налагоджувати програмне забезпечення системи резервного копіювання;

- формувати та вести резервні копії загальносистемного та спеціального програмного забезпечення КНЕДП;

- забезпечувати актуальність еталонних, архівних і резервних копій баз сертифікатів, що створюються в КНЕДП, та їх зберігання.

3. Керівник СЗІ:

- здійснює загальне керівництво діяльністю СЗІ, організовує, спрямовує і контролює роботу членів СЗІ з урахуванням цього Положення, планових заходів із захисту інформації;

- організовує роботу із захисту інформації в КНЕДП у порядку, передбаченому законодавством;

- забезпечує розроблення Плану захисту інформації, контролює його виконання;

- координує плани діяльності персоналу КНЕДП, організацію його навчання з питань захисту інформації;

- забезпечує дотримання трудової та виконавської дисципліни в СЗІ, правил охорони праці та протипожежної охорони, ефективне використання і збереження майна СЗІ.

4. Члени СЗІ:

- забезпечують додержання вимог нормативних документів з питань організації робіт із захисту інформації, інформаційних ресурсів та технологій;

- здійснюють розроблення і впровадження організаційно-технічних заходів із захисту інформації в КНЕДП;

- перевіряють стан захищеності інформації в КНЕДП відповідно до плану робіт СЗІ;

- забезпечують якісне та повне документальне оформлення результатів робіт окремих етапів створення КСЗІ;

- вживають заходів щодо додержання вимог організаційно-розпорядчих документів Офісу Генерального прокурора з питань поводження з ключовими носіями та документами в разі компрометації особистого ключа та виходу з ладу ключових носіїв інформації;

- забезпечують фіксування облікових записів користувачів (паролі, ідентифікатори, ключі тощо) виключно на врахованих носіях;

- здійснюють своєчасні та належні профілактичні, діагностичні, ремонтні роботи з усунення несправностей ПТК КНЕДП;

- додержуються норм експлуатації та забезпечують безперебійну роботу апаратури ПТК КНЕДП.

5. Працівники Офісу Генерального прокурора, на яких покладено виконання функцій СЗІ, виконують також інші повноваження, що випливають із покладених на неї завдань.

1. Заходи із захисту інформації в КНЕДП повинні узгоджуватися із заходами щодо технічного захисту інформації та режимної діяльності Офісу Генерального прокурора.

2. СЗІ взаємодіє та узгоджує свою діяльність із:

- структурним підрозділом Офісу Генерального прокурора, відповідальним за забезпечення технічного захисту інформації в Офісі Генерального прокурора;

- іншими користувачами, постачальниками, виконавцями робіт з питань функціонування КНЕДП;

- іншими суб'єктами діяльності у сфері захисту інформації;

- персоналом КНЕДП, що безпосередньо не пов'язаний із захистом інформації.

1. СЗІ здійснює свою роботу щодо реалізації основних організаційних та організаційно-технічних заходів зі створення і забезпечення функціонування КСЗІ згідно з планами роботи. Підставою для розроблення планів роботи є План захисту інформації.

2. До планів включаються такі основні заходи:

- разові (одноразово виконувані, необхідність у повторенні яких виникає за умови повного перегляду прийнятих рішень із захисту інформації);

- постійно виконувані (заходи, що потребують виконання неперервно або дискретно у випадковий чи заданий час);

- періодично виконувані (із заданим інтервалом часу);

- виконувані за необхідності (заходи, що потребують виконання під час здійснення або виникнення певних змін у ПТК КНЕДП чи зовнішньому середовищі).

3. Основними видами планів роботи СЗІ є:

- календарний план роботи (щодо реалізації заходів з проєктування, реалізації, оцінювання, впровадження, технічного обслуговування, експлуатації КСЗІ та інших питань);

- план заходів з оперативного реагування на непередбачені ситуації (у тому числі надзвичайні та аварійні) та поновлення функціонування КНЕДП;

- поточний план роботи (на півріччя, рік);

- перспективний план розвитку та вдосконалення діяльності СЗІ з питань захисту інформації (до 5 років);

- план заходів із забезпечення безпеки інформації під час виконання окремих важливих робіт, при проведенні нарад, укладенні договорів, угод тощо.

4. Проєкти планів роботи складаються начальником СЗІ і затверджуються в установленому порядку.

1. Начальник СЗІ відповідає за належну організацію роботи з виконання покладених на СЗІ завдань.

2. Члени СЗІ відповідають за належне виконання своїх функціональних обов'язків, своєчасне та якісне виконання доручень керівництва Офісу Генерального прокурора та начальника СЗІ.

3. Працівники Офісу Генерального прокурора, на яких покладено виконання функцій СЗІ, несуть відповідальність за порушення службової та трудової дисципліни, а також в інших випадках відповідно до Законів України "Про прокуратуру", "Про державну службу", "Про запобігання корупції", "Про електронні довірчі послуги", "Про захист персональних даних", законодавства про працю та з питань забезпечення захисту інформації.