Про затвердження Порядку сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті

Відповідно до пункту 41 частини першої статті 14 Закону України "Про Державну службу спеціального зв’язку та захисту інформації України", підпункту 30 пункту 4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та абзацу другого пункту 5 Плану заходів щодо захисту державних інформаційних ресурсів, затвердженого розпорядженням Кабінету Міністрів України від 05 листопада 2014 року № 1135-р, НАКАЗУЮ:

1. Затвердити Порядок сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті, що додається.

2. Директору Департаменту спеціальних інформаційно-телекомунікаційних систем Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України відповідно до Указу Президента України від 03 жовтня 1992 року № 493 "Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади".

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України.

1. Цей Порядок визначає організаційні засади проведення сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті (далі - сканування).

2. Терміни у цьому Порядку вживаються у значеннях, наведених у Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про електронні комунікації", "Про Державну службу спеціального зв’язку та захисту інформації України", "Про основні засади забезпечення кібербезпеки України".

3. Сканування є однією з форм проведення оцінки стану захищеності інформації в інформаційно-комунікаційних системах (далі - ІКС) і полягає у дистанційній перевірці ІКС, яка забезпечує розміщення державних інформаційних ресурсів у мережі Інтернет (далі - розміщені в Інтернеті ДІР), на предмет виявлення в ній вразливостей, які створюють передумови до порушення конфіденційності, цілісності та доступності інформації та державних інформаційних ресурсів, що обробляються ІКС, або спостережності самої ІКС.

4. Об’єктами сканування є ІКС, в якій обробляються розміщені в Інтернеті ДІР, її окремі елементи, програмні і програмно-апаратні засоби, що застосовані в ІКС, незалежно від наявності побудованої комплексної системи захисту інформації та/або системи управління інформаційною безпекою з підтвердженою відповідністю.

5. Сканування проводиться згідно зі встановленим Порядком оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційнихта інформаційно-комунікаційних системах, затвердженим наказом Адміністрації Держспецзв’язку від 02 грудня 2014 року № 660, зареєстрованим в Міністерстві юстиції України 28 січня 2015 року за № 90/26535 (далі - Порядок оцінки).

6. Сканування проводиться Державним центром кіберзахисту Державної служби спеціального зв’язку та захисту інформації України (далі - ДЦКЗ Держспецзв’язку) відповідно до Порядку оцінки:

за письмовим зверненням державного органу, органу місцевого самоврядування, військового формування, підприємства, установи і організації державної форми власності (далі - розпорядник розміщених в Інтернеті ДІР);

в автоматичному режимі відповідно до переліку об’єктів сканування, який формується у рамках планування проведення оцінки стану захищеності в державних органах, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності (далі - Перелік об’єктів сканування).

7. Посадовим особам ДЦКЗ Держспецзв’язку, що безпосередньо проводять сканування, забороняється розголошувати його результати третім сторонам, крім випадків, передбачених законодавством та цим Порядком, а також використовувати виявлені вразливості для проведення дій, що можуть призвести до порушення штатного режиму функціонування ІКС, що сканується, порушення цілісності, конфіденційності та доступності інформації та розміщених в Інтернеті ДІР, а також для отримання доступу до персональних даних, що можуть оброблятися в ІКС.

8. У разі виявлення під час сканування випадків порушення правил обробки та захисту інформації, що може спричинити розголошення службової інформації або інформації, що становить державну таємницю, Держспецзв’язку інформує Службу безпеки України про факти порушень протягом п’яти календарних днів з моменту їх виявлення.

1. Власник ІКС, у якій обробляються державні інформаційні ресурси, у разі потреби проведення сканування власної ІКС на предмет виявлення у ній вразливостей ініціює перед розпорядником розміщених в Інтернеті ДІР, що обробляються у цій ІКС, питання звернення до Держспецзв’язку для проведення сканування власної ІКС.

2. ДЦКЗ Держспецзв’язку організовує заходи зі сканування на підставі письмового звернення розпорядника розміщеного в Інтернеті ДІР та за рішенням Голови Держспецзв’язку або його заступника відповідно до розподілу функціональних обов’язків.

3. ДЦКЗ Держспецзв’язку:

письмово інформує розпорядника розміщеного в Інтернеті ДІР та власника ІКС (якщо розпорядник розміщеного в Інтернеті ДІР не є власником ІКС, у якій обробляється відповідний ресурс) про строки, обсяг та зміст заходів, які будуть проведені у процесі сканування;

не пізніше ніж за три робочих дні інформує Службу безпеки України про об’єкт, строки та методи проведення сканування. Для термінового інформування також використовується електронна пошта.

4. За результатами сканування посадові особи ДЦКЗ Держспецзв’язку, що безпосередньо здійснювали сканування, складають акт сканування на предмет вразливості розміщених в Інтернеті державних інформаційних ресурсів (далі - Акт) за формою, що наведена у додатку до цього Порядку, в якому викладають результати сканування, висновки та відповідні рекомендації.

5. Акт складається у двох примірниках, його затверджує Голова Держспецзв’язку або його заступник відповідно до розподілу обов’язків.

6. Примірники Акта не пізніше ніж за десять днів після його затвердження надсилаються розпоряднику розміщених в Інтернеті ДІР для ознайомлення з ним керівника або уповноваженої особи державного органу, що звертався.

7. Розпорядник розміщених в Інтернеті ДІР повертає другий примірник Акта у десятиденний строк з дати його отримання. До усунення причин, що зумовлюють віднайдені вразливості, розпоряднику розміщеного в Інтернеті ДІР або власнику ІКС, в якій обробляються державні інформаційні ресурси, забороняється публічно оголошувати результати сканування.

8. У місячний строк з дня отримання Акта розпорядник розміщеного в Інтернеті ДІР або власник ІКС письмово інформує Держспецзв’язку про врахування рекомендацій, викладених в Акті. У разі відсутності такого інформування або надходження повідомлення про неможливість врахування рекомендацій Держспецзв’язку протягом десяти робочих днів інформує Службу безпеки України про виявлені під час сканування вразливості.

1. ДЦКЗ Держспецзв’язку на початку кожного календарного року з урахуванням даних, що містяться в Реєстрі інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління, складає Перелік об’єктів сканування, який містить відомості про об’єкти і дати проведення сканування. Перелік об’єктів сканування є частиною річного плану проведення оцінки стану захищеності в державних органах, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності, який формується відповідно до встановленого Порядку оцінки.

2. ДЦКЗ Держспецзв’язку протягом п’яти робочих днів після затвердження Переліку об’єктів сканування надсилає його до Служби безпеки України.

3. За результатами проведення автоматизованого дистанційного сканування ДЦКЗ Держспецзв’язку інформує:

розпорядників розміщених в Інтернеті ДІР - якщо під час автоматизованого дистанційного сканування виявлено вразливості та недоліки у налаштуванні ІКС, в якій обробляються державні інформаційні ресурси, згідно з процедурою, встановленою пунктами 4-8 розділу ІІ цього Порядку;

Національний координаційний центр кібербезпеки Ради національної безпеки і оборони України - щотижня про виявлені у ході автоматизованого дистанційного сканування вразливості і недоліки функціонування ІКС.

4. Після отримання від розпорядника розміщених в Інтернет ДІР або власника ІКС, в якій вони обробляються, інформації щодо усунення виявлених вразливостей та недоліків ДЦКЗ Держспецзв’язку у разі потреби з метою перевірки ефективності впроваджених заходів із захисту проводить повторне автоматизоване дистанційне сканування в порядку, встановленому розділом II цього Порядку.