У «Положенні про Реєстр ІТС органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління», затвердженому постановою Кабінету Міністрів України від 03.08.2005 №688:
державні електронні інформаційні ресурси – відображена та задокументована в електронному вигляді інформація, необхідність захисту якої визначено законодавством.
11) накопичення та аналіз даних про вчинення та/або спроби вчинення несанкціонованих дій щодо державних інформаційних ресурсів в ІТС, а також про їх наслідки, інформування правоохоронних органів для вжиття заходів із запобігання та припинення кримінальних правопорушень у зазначеній сфері; оцінка стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, надання відповідних рекомендацій;
13) погодження проектів створення ІТС, в яких оброблятиметься інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої
встановлена законом, проведення їх експертної оцінки і визначення можливості введення в експлуатацію;
16) встановлення порядку і вимог щодо використання ІТС, у тому числі загального користування, органами державної влади, органами місцевого самоврядування, підприємствами, установами і організаціями незалежно від форм власності, які збирають, обробляють, зберігають та передають інформацію, яка є власністю держави, або інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законом;
32) видача атестата відповідності комплексних систем захисту інформації ІТС, із застосуванням яких обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, вимогам нормативних документів з питань технічного захисту інформації.
Інструкція про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію(затверджена ПКМУ від 27.11.98 №1893)
18. Використання ІТС для друкування документів з грифом «Для службового користування» та обробки конфіденційної інформації, що є власністю держави, може здійснюватися тільки після створення в ній КСЗІ та підтвердження відповідності створеної системи вимогам нормативних документів з питань технічного захисту інформації в порядку, встановленому законодавством.
Дозвіл на використання ІТС із зазначеною метою надається згідно з наказом керівника організації за наявності атестата відповідності КСЗІ.
Основний керівний нормативно-правовий акт:
Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі – Правила 373)(затверджені ПКМУ від 29.03.2006 №373 з останніми змінами згідно №938 від 07.09.2011)
3. У Правилах наведені нижче терміни вживаються у такому значенні:
– автентифікація – процедура встановлення належності користувачеві інформації в системі (далі – користувач) пред'явленого ним ідентифікатора (пароль);
– ідентифікація – процедура розпізнавання користувача в системі як правило за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою (логін).
4. Захисту в системі підлягає:
– відкрита інформація, яка належить до державних інформаційних ресурсів, а також відкрита інформація про діяльність суб'єктів владних повноважень, військових формувань, яка оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами (далі – відкрита інформація);
– конфіденційна інформація, яка перебуває у володінні розпорядників інформації, визначених Законом України «Про доступ до публічної інформації»;
– службова інформація;
– інформація, яка становить державну або іншу передбачену законом таємницю (далі – таємна інформація);
– інформація, вимога щодо захисту якої встановлена законом.
5. Відкрита інформація під час обробки в системі повинна зберігати цілісність, що забезпечується шляхом захисту від несанкціонованих дій, які можуть призвести до її випадкової або умисної модифікації чи знищення.
Усім користувачам повинен бути забезпечений доступ до ознайомлення з відкритою інформацією. Модифікувати або знищувати відкриту інформацію можуть лише ідентифіковані та автентифіковані користувачі, яким надано відповідні повноваження.
Читать дальше