Про внесення зміни до наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 19 серпня 2021 року № 509

Відповідно до статті 7 Адміністративних домовленостей щодо охорони інформації з обмеженим доступом між Урядом України та Організацією Північноатлантичного договору, ратифікованих Законом України від 24 травня 2017 року № 2068-VIII, підпунктів 95-9 -95-13 пункту 4, пункту 10 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та з метою нормативного врегулювання процесу побудови та процедури акредитації з безпеки інформаційно-комунікаційних систем, призначених для оброблення (передачі) інформації НАТО з обмеженим доступом, НАКАЗУЮ:

1. Пункт 1 наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 19 серпня 2021 року № 509 "Про застосування окремих нормативних документів НАТО та військових стандартів України для побудови та акредитації з безпеки інформаційно-комунікаційних систем, призначених для оброблення (передачі) інформації НАТО з обмеженим доступом", зареєстрованого в Міністерстві юстиції України 08 вересня 2021 року за № 1181/36803, викласти в такій редакції:

"1. При побудові та акредитації з безпеки інформаційно-комунікаційних систем, призначених для оброблення (передачі) інформації НАТО з обмеженим доступом, застосовувати такі нормативні документи НАТО та військові стандарти України:

AC/35-D/2004-REV3. Primary Directive on CIS Security. NATO Unclassified;

AC/35-D/2005-REV3. Management Directive on CIS Security. NATO Unclassified;

C-M(2007)0118. The NATO Information Management Policy. NATO Unclassified;

AC/35-D/2002-REV5. Directive on the Security of NATO Classified Information. NATO Unclassified;

C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO). NATO Unclassified;

AC/35-D/2000-REV8. Directive on Personеl Security. NATO Unclassified;

AC/35-D/2001-REV3. Directive on Physical Security. NATO Unclassified;

AC/35-N(2015)0022 (CISS). Rules of Engagement for Security Audits of NATO CIS. NATO Unclassified;

AC/322-D(2021)0032. Technical and Implementation Directive for the Protection of NATO Information within Public Cloud-Based Communication and Information Systems. NATO Unclassified;

AC/322-D(2019)0032-REV1 (INV). NATO Cloud Computing Directive. NATO Unclassified;

C-M(2015)0041-REV1. NATO Cloud Computing Policy. NATO Unclassified;

AC/322-D(2019)0041 (INV). Technical and Implementation Directive on Introducing Secure Systems and Solutions Using Commercial Off the Shelf (COTS) Products into NATO. NATO Unclassified;

AC/322-D/0048-REV3 (INV). Technical and Implementation Directive on CIS Security. NATO Unclassified;

AC/322-N(2014)0072. NATO Cyber Defence Taxonomy and Definitions. NATO Unclassified;

ВСТ 01.008.001-2021 (01). "Захист інформації з обмеженим доступом. Структура та зміст процедур з безпеки для комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1014-REV3, Guidelines for the Structure and Content of Security Operating Procedures (SecOPs) for Communication and Information Systems (CIS), IDT)";

ВСТ 01.008.002-2021 (01). "Захист інформації з обмеженим доступом. Управління ризиками з безпеки комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1017-REV3, Guidelines for Security Risk Management (SRM) оf Communication and Information Systems (CIS), IDT)";

ВСТ 01.008.003-2021 (01). "Захист інформації з обмеженим доступом. Оцінка безпеки та сертифікація комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1019-REV1, Guidelines for the Security Evaluation and Certification of Communication and Information Systems (CIS), IDT)";

ВСТ 01.008.004-2021 (01). "Захист інформації з обмеженим доступом. Акредитація з безпеки комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1021-REV3, Guidelines for the Security Accreditation of Communication and Information Systems (CIS), IDT)";

ВСТ 01.008.005-2021 (01). "Захист інформації з обмеженим доступом. Безпека обміну інформацією НАТО для країн що не є членами НАТО. Настанова (AC/35-D/1038-REV3, Supporting Document for Non-NATO Entities on Security in Relation to NATO, IDT)".

2. Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв’язку та захисту інформації України згідно з розподілом обов’язків.