Затверджено
постановою Кабінету Міністрів України
від 3 серпня 2005 р. № 688
Положення
про Реєстр інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних систем органів
виконавчої влади, а також підприємств, установ і організацій,
що належать до сфери їх управління
1.
Це Положення визначає порядок утворення та
функціонування Реєстру інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних систем органів виконавчої влади, а також
підприємств, установ і організацій, що належать до сфери їх управління (далі –
Реєстр).
2.
Поняття, що використовуються у цьому Положенні,
вживаються у такому значенні:
адміністратор
Реєстру – розпорядник інформаційної системи, який забезпечує
функціонування Реєстру;
державні електронні інформаційні
ресурси – інформація, яка є власністю держави та необхідність захисту якої
визначено законодавством;
Реєстр – інформаційна
система, призначена для накопичення, обліку, оброблення і зберігання відомостей
про склад, структуру, розміщення, умови функціонування, призначення, стан
захисту інформації в інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах, що містять державні електронні
інформаційні ресурси або плануються для цього, органів виконавчої влади, а
також підприємств, установ і організацій, що належать до сфери їх управління;
кластер – група одиниць
комп’ютерної техніки, які з’єднані між собою та виконують однакові завдання.
Інші поняття вживаються у
значеннях, наведених у Законі України "Про захист інформації в
інформаційно-телекомунікаційних системах".
3.
Метою утворення Реєстру є:
запровадження єдиної системи
обліку відомостей, визначених переліком відомостей про інформаційну,
телекомунікаційну та інформаційно-телекомунікаційну систему органу виконавчої
влади, а також підприємства, установи і організації, що належить до сфери його
управління (далі – перелік), що додається;
проведення аналізу стану захисту
державних електронних інформаційних ресурсів в інформаційних,
телекомунікаційних та інформаційно-телекомунікаційних системах;
надання методичної допомоги і
координація діяльності міністерств та інших центральних органів виконавчої
влади, пов’язаної із захистом державних електронних інформаційних ресурсів в
інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.
4.
До складу Реєстру входять інформаційний фонд,
комп’ютерне обладнання, електронні носії інформації, програмне забезпечення,
експлуатаційна документація, комплексна система захисту інформації.
5.
Інформаційний фонд Реєстру формується з відомостей,
наданих відповідно до переліку, і складається з робочого, еталонного та
страхового фондів.
Робочий фонд – база даних,
призначена для обліку та оброблення відомостей, отриманих у встановленому
порядку згідно з переліком.
Еталонний фонд – база даних,
призначена для накопичення і зберігання в контрольному стані відомостей, взятих
на облік та оброблених у робочому фонді.
Страховий фонд – архівні копії
еталонного фонду, призначені для його відновлення у разі повної або часткової
втрати.
6.
Інформація, яка міститься в інформаційному фонді
Реєстру, є державною власністю.
7.
Управління Реєстром здійснює Департамент
спеціальних телекомунікаційних систем та захисту інформації Служби безпеки
(далі ‑ Департамент).
Департамент:
визначає порядок, види та форми
надання відомостей до інформаційного фонду Реєстру, а також правила
користування ним;
визначає організаційні та
методичні засади функціонування Реєстру, виконує роботи, пов'язані з його
утворенням;
щороку до 31 березня подає
Кабінетові Міністрів України аналітичні матеріали щодо стану захисту державних
електронних інформаційних ресурсів в інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах
органів виконавчої влади, а також підприємств, установ і організацій, що
належать до сфери їх управління.
8.
Адміністратором Реєстру є Державний центр безпеки
інформаційних та телекомунікаційних систем Департаменту.
Адміністратор Реєстру:
забезпечує функціонування
Реєстру;
вживає необхідних заходів для
забезпечення захисту відомостей інформаційного фонду Реєстру;
несе відповідальність за
достовірність та нерозголошення відомостей інформаційного фонду Реєстру
відповідно до законодавства;
здійснює отримання, облік,
оброблення, накопичення і зберігання, наданих згідно з переліком відомостей в
інформаційному фонді Реєстру;
на підставі отриманих у
встановленому порядку згідно з переліком відомостей забезпечує формування та
оновлення інформаційного фонду Реєстру;
виконує інші роботи, пов’язані з
функціонуванням Реєстру.
9.
Органи виконавчої влади двічі на рік (станом
на 1 січня – до 1 лютого, а станом на 1 липня – до 1 серпня) надають
адміністратору Реєстру згідно з переліком узагальнені відомості про власні
інформаційні, телекомунікаційні та інформаційно-телекомунікаційні системи, а
також про відповідні системи підприємств, установ і організацій, що належать до
сфери їх управління.
Підприємства, установи і
організації надають органу виконавчої влади, до сфери управління якого вони
належать, згідно з переліком відомості про свої інформаційні, телекомунікаційні
та інформаційно-телекомунікаційні системи у порядку, встановленому цим органом
виконавчої влади.
10.
У разі введення в експлуатацію або припинення
функціонування інформаційної, телекомунікаційної,
інформаційно-телекомунікаційної системи
відповідний орган виконавчої влади або підприємство, установа чи
організація, що належить до сфери його управління, у десятиденний строк
повідомляє про це адміністратора Реєстру.
11.
Посадові особи органів виконавчої влади, до
обов’язків яких належить надання відомостей до інформаційного фонду Реєстру, несуть відповідальність за достовірність наданої
інформації згідно із законодавством.
Додаток
до Положення
Перелік
відомостей про інформаційну, телекомунікаційну та
інформаційно-телекомунікаційну систему органу виконавчої влади,
а також підприємства, установи і організації, що належать
до сфери його управління
1.
Повна та скорочена назва інформаційної, телекомунікаційної та/або
інформаційно-телекомунікаційної системи (далі – система).
2.
Повне найменування органу
виконавчої влади або підприємства, установи, організації, що належить до сфери
управління органу виконавчої влади, що є власником (розпорядником) системи.
3.
Відомості про технічне
завдання на створення системи.
4.
Відомості про віднесення
інформації, що обробляється або
планується для оброблення в системі, до державних електронних
інформаційних ресурсів.
5.
Режим доступу до державних
електронних інформаційних ресурсів (відкрита інформація або інформація з
обмеженим доступом – конфіденційна інформація, що є власністю держави, державна
таємниця тощо), які обробляються або
плануються для оброблення в системі.
6.
Місцезнаходження системи
та/або її елементів (підсистем).
7.
Вид та кількість одиниць
комп’ютерної техніки, комутаційного та телекомунікаційного обладнання, що
використовуються, та спосіб об’єднання у системі (окремі автоматизовані робочі
місця, локальні та/або розподілені телекомунікаційні мережі тощо).
8.
Відомості про підключення
системи до Інтернет, інших глобальних мереж передачі даних та систем, які не
входять до її складу, із зазначенням типу зв’язку (постійний, комутований
тощо), типу та швидкості каналів зв’язку, їх належності, операторів
телекомунікацій та провайдерів телекомунікацій.
9.
Відомості про наявність
кластерів та їх призначення у системі із зазначенням кількості кластерів та
кількості одиниць комп’ютерної техніки і зовнішніх систем зберігання даних у
кожному кластері.
10.
Назви та версії операційних
систем, які використовуються в системі, з відображенням кількості одиниць
комп’ютерної техніки, де вони встановлені.
11.
Назви та версії програмного забезпечення,
яке використовується в системі, з відображенням кількості одиниць комп’ютерної
техніки, де воно встановлено.
12.
Відомості щодо серверів, які
входять до складу системи, у разі коли вона має фізичне з’єднання з Інтернет, іншими глобальними мережами передачі даних.
13.
Відомості про розподілення
(наявність документального визначення) обов’язків між користувачами та/або
персоналом щодо їх функцій у системі (мережові адміністратори, адміністратори
безпеки, користувачі тощо).
14.
Види оброблення (створення, зберігання,
накопичення, передавання, видалення тощо) державних електронних інформаційних
ресурсів, способи і методи його здійснення у системі.
15.
Види електронних носіїв
інформації (накопичувачі на твердих та/або гнучких магнітних дисках, оптичні
диски тощо), що використовуються для зберігання (у тому числі тимчасового)
державних електронних інформаційних ресурсів у системі.
16.
Відомості про наявність
відповідальної особи та/або підрозділу за стан технічного та/або
криптографічного захисту державних електронних інформаційних ресурсів у
системі, у тому числі на які покладено функції служби захисту інформації
відповідно до вимог нормативних документів з технічного захисту інформації.
17.
Відомості про наявність плану
захисту інформації у системі відповідно
до вимог нормативних документів з технічного захисту інформації.
18.
Відомості про технічне
завдання на комплексну систему захисту інформації у системі.
19.
Види та типи засобів
криптографічного захисту інформації, які використовуються у системі. Відомості
про наявність для зазначених засобів сертифікатів, експертних висновків та/або
документів щодо допуску до експлуатації згідно з вимогами нормативних
документів з криптографічного захисту інформації.
20.
Види та типи засобів
технічного захисту інформації, у тому числі антивірусного, які використовуються
у системі, з відображенням назв і версій цих засобів та кількості одиниць
комп’ютерної техніки, де вони встановлені. Відомості про наявність для
зазначених засобів сертифікатів, експертних висновків, дозволів згідно з
вимогами нормативних документів з технічного захисту інформації.
21.
Відомості про проведення та
результати державної експертизи комплексної системи захисту інформації системи.
22.
Відомості про спроби вчинення
та (або) вчинені несанкціоновані дії щодо державних інформаційних ресурсів у
системі.