АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
10.03.2025 № 160
Зареєстровано в Міністерстві
юстиції України
20 березня 2025 року
за № 448/43854
Про затвердження Порядку здійснення моніторингу систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням базових та цільових профілів безпеки інформації
Відповідно до пункту 10 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, пункту 10 Порядку реалізації експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації, затвердженого постановою Кабінету Міністрів України від 30 травня 2024 року № 627, НАКАЗУЮ:
1. Затвердити Порядок здійснення моніторингу систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням базових та цільових профілів безпеки інформації, що додається.
2. Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу залишаю за собою.
| Голова Служби | Олександр ПОТІЙ |
ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв’язку
та захисту інформації України
10 березня 2025 року № 160
Зареєстровано в Міністерстві
юстиції України
20 березня 2025 року
за № 448/43854
Порядок
здійснення моніторингу систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням базових та цільових профілів безпеки інформації
1. Цей Порядок визначає процедуру здійснення Адміністрацією Держспецзв’язку моніторингу систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі — ІКС), створених з використанням базових та цільових профілів безпеки інформації (далі — Моніторинг).
2. Моніторинг здійснюється з метою оцінки ефективності реалізації експериментального проєкту з декларування відповідності комплексних систем захисту інформації (далі — КСЗІ) в ІКС, створених з використанням профілів безпеки інформації, запровадженого постановою Кабінету Міністрів України від 30 травня 2024 року № 627 "Про реалізацію експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації", та надання методично-консультативної підтримки його учасникам.
3. У цьому Порядку терміни вживаються у значенні, наведеному в Законі України "Про захист інформації в інформаційно-комунікаційних системах", Порядку реалізації експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації, затвердженому постановою Кабінету Міністрів України від 30 травня 2024 року № 627.
4. Об’єктами Моніторингу є КСЗІ в ІКС, створені з використанням базових та цільових профілів безпеки інформації відповідно до Порядку реалізації експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації, затвердженого постановою Кабінету Міністрів України від 30 травня 2024 року № 627.
5. Моніторинг передбачає виконання заходів, спрямованих на проведення аналізу етапів створення та оцінки достатності заходів захисту інформації КСЗІ в ІКС, створених з використанням базових та цільових профілів безпеки інформації, зокрема:
аналіз визначення цільового профілю безпеки інформації відповідно до базового профілю безпеки інформації;
аналіз звітних матеріалів з проведення оцінки реалізації цільового профілю безпеки інформації.
6. Заходи з аналізу визначення цільового профілю безпеки інформації відповідно до базового профілю безпеки інформації передбачають аналіз цільового профілю безпеки інформації щодо:
його відповідності для ІКС з урахуванням обробки інформації за порядком доступу;
підтвердження наявності у цільовому профілі безпеки інформації необхідних вимог та заходів захисту базового профілю безпеки інформації;
врахування у цільовому профілі безпеки інформації сукупності заходів із захисту інформації та їх налаштувань, вимог законодавства та стандартів у сфері захисту інформації в ІКС, нормативних документів системи технічного захисту інформації, галузевих вимог, політик безпеки в ІКС, а також призначення ІКС, її характеристик та особливостей функціонування, результатів проведеної оцінки ризиків.
7. Аналіз звітних матеріалів з проведення оцінки реалізації цільового профілю безпеки інформації передбачає розгляд етапів досліджень ІКС на предмет повноти, об’єктивності, достатності та характеристик, необхідних для визначення правильності та коректності обґрунтування висновків оцінки реалізації заходів захисту інформації в ІКС.
8. Моніторинг здійснюється Адміністрацією Держспецзв’язку не раніше ніж через тридцять календарних днів з дня подання до Адміністрації Держспецзв’язку декларації про відповідність КСЗІ в ІКС, створеної з використанням базових та цільових профілів безпеки інформації.
9. Про здійснення Моніторингу Адміністрація Держспецзв’язку листом повідомляє власника (розпорядника) ІКС.
10. Власник (розпорядник) ІКС протягом п’яти робочих днів з дати отримання листа про здійснення Моніторингу надсилає до Адміністрації Держспецзв’язку копію затвердженого цільового профілю безпеки інформації та звітні матеріали з проведення оцінки реалізації цільового профілю безпеки інформації (далі — документи для аналізу).
11. Адміністрація Держспецзв’язку в місячний строк з дати отримання документів для аналізу здійснює їх аналіз.
Під час здійснення Моніторингу з метою уточнення налаштувань цільового профілю безпеки інформації Адміністрацією Держспецзв’язку не пізніше п’яти робочих днів з дати отримання документів для аналізу, може бути визначена обґрунтована необхідність надання власником (розпорядником) ІКС додаткових документів, матеріалів з урахуванням особливостей системи захисту інформації в ІКС, зокрема галузевих вимог, політики безпеки, призначення, характеристик та особливостей її функціонування.
Власник (розпорядник) ІКС протягом п’яти робочих днів з дня отримання листа надсилає до Адміністрації Держспецзв’язку додаткову інформацію, що запитується.
У цьому випадку датою початку проведення аналізу наданих документів є дата отримання Адміністрацією Держспецзв’язку інформації, що запитується.
12. Документи для аналізу та додаткова інформація подається власником (розпорядником) ІКС до Адміністрацією Держспецзв’язку в електронній формі з використанням системи електронної взаємодії органів виконавчої влади з накладенням електронного підпису, що базується на кваліфікованому сертифікаті електронного підпису відповідно до вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг, а у разі наявності в них інформації з обмеженим доступом подання таких документів здійснюється в письмовій формі з дотриманням встановлених правил роботи з документами, які містять інформацію з обмеженим доступом.
13. Результати моніторингу зазначаються у звіті щодо його здійснення, який Адміністрація Держспецзв’язку надсилає власнику (розпоряднику) ІКС. У звіті вказуються висновки щодо відповідності цільового профілю безпеки інформації вимогам базового профілю безпеки інформації та рекомендації щодо необхідності здійснення заходів з доопрацювання системи захисту інформації в разі потреби. Звіт може містити таблиці, діаграми, графіки та інші форми узагальнення інформації.
| Т. в. о. директора Департаменту захисту інформації Адміністрації Держспецзв’язку | Андрій ГОЛОВЕНКО |