КАБІНЕТ МІНІСТРІВ УКРАЇНИ
П О С Т А Н О В А
від 29 березня 2006 р. N 373 Київ

Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах

( Із змінами, внесеними згідно з Постановами КМ N 1700 (1700-2006-п) від 08.12.2006 N 938 (938-2011-п) від 07.09.2011 N 991 (991-2020-п) від 21.10.2020 N 92 (92-2021-п) від 08.02.2021 )
Відповідно до статті 10 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" (80/94-ВР) Кабінет Міністрів України постановляє:
Затвердити Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, що додаються.
Прем'єр-міністр України Ю.ЄХАНУРОВ Інд. 49
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 29 березня 2006 р. N 373

ПРАВИЛА

забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах

Загальна частина

1. Ці Правила визначають загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - система).
( Пункт 1 із змінами, внесеними згідно з Постановою КМ N 938 (938-2011-п) від 07.09.2011 )
2. Дія цих Правил не поширюється на захист інформації в системах урядового та спеціальних видів зв’язку, в технічних засобах і їх складових, необхідних для здійснення уповноваженими органами оперативно-розшукових, розвідувальних заходів та негласних слідчих (розшукових) дій.
( Пункт 2 в редакції Постанови КМ N 92 (92-2021-п) від 08.02.2021 )
3. У Правилах наведені нижче терміни вживаються у такому значенні:
автентифікація - процедура встановлення належності користувачеві інформації в системі (далі - користувач) пред'явленого ним ідентифікатора;
ідентифікація - процедура розпізнавання користувача в системі як правило за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою.
Інші терміни вживаються у значенні, наведеному в Законах України "Про інформацію" (2657-12) , "Про доступ до публічної інформації" (2939-17) , "Про державну таємницю" (3855-12) , "Про захист інформації в інформаційно-телекомунікаційних системах" (80/94-ВР) , "Про телекомунікації" (1280-15) , Положенні про технічний захист інформації в Україні, затвердженому Указом Президента України від 27 вересня 1999 р. N 1229 (1229/99) .
( Абзац четвертий пункту 3 із змінами, внесеними згідно з Постановою КМ N 938 (938-2011-п) від 07.09.2011 )
4. Захисту в системі підлягає:
відкрита інформація, яка належить до державних інформаційних ресурсів, а також відкрита інформація про діяльність суб'єктів владних повноважень, військових формувань, яка оприлюднюється в Інтернеті, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами (далі - відкрита інформація);
конфіденційна інформація, яка перебуває у володінні розпорядників інформації, визначених частиною першою статті 13 Закону України "Про доступ до публічної інформації" (2939-17) (далі - конфіденційна інформація);
службова інформація;
інформація, яка становить державну або іншу передбачену законом таємницю (далі - таємна інформація);
інформація, вимога щодо захисту якої встановлена законом.
( Пункт 4 в редакції Постанови КМ N 938 (938-2011-п) від 07.09.2011 )
5. Відкрита інформація під час обробки в системі повинна зберігати цілісність, що забезпечується шляхом захисту від несанкціонованих дій, які можуть призвести до її випадкової або умисної модифікації чи знищення.
Усім користувачам повинен бути забезпечений доступ до ознайомлення з відкритою інформацією. Модифікувати або знищувати відкриту інформацію можуть лише ідентифіковані та автентифіковані користувачі, яким надано відповідні повноваження.
Спроби модифікації чи знищення відкритої інформації користувачами, які не мають на це повноважень, неідентифікованими користувачами або користувачами з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.
6. Під час обробки службової і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
( Пункт 6 із змінами, внесеними згідно з Постановою КМ N 938 (938-2011-п) від 07.09.2011 )
7. Доступ до службової інформації надається тільки ідентифікованим та автентифікованим користувачам. Спроби доступу до такої інформації неідентифікованих осіб чи користувачів з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.
( Пункт 7 із змінами, внесеними згідно з Постановою КМ N 938 (938-2011-п) від 07.09.2011 )
У системі забезпечується можливість надання користувачеві права на виконання однієї або кількох операцій з обробки конфіденційної інформації або позбавлення його такого права.
8. Вимоги до захисту в системі інформації, що становить державну таємницю, визначаються цими Правилами та законодавством у сфері охорони державної таємниці.
9. Забезпечення технічного та криптографічного захисту інформації з обмеженим доступом, а також відкритої інформації, вимога щодо захисту якої встановлена законом, здійснюється в системі з дотриманням вимог, що висуваються для забезпечення захисту такої інформації, якщо інше не передбачене законом.
Криптографічний захист в системі таємної інформації, яка не становить державної таємниці, та конфіденційної інформації в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях, які належать до сфери їх управління, військових формуваннях, які створені відповідно до закону, здійснюється з використанням засобів криптографічного захисту інформації, які відповідають вимогам до засобів криптографічного захисту інформації, призначених для захисту таємної інформації, яка не становить державної таємниці, та конфіденційної інформації, що підтверджуються експертним висновком у сфері криптографічного захисту інформації або документом про відповідність.
( Пункт 9 в редакції Постанов КМ N 938 (938-2011-п) від 07.09.2011, N 92 (92-2021-п) від 08.02.2021 )
10. Вимоги до захисту в системі інформації від несанкціонованого блокування визначаються розпорядником інформації, якщо інше для цієї інформації або системи, в якій вона обробляється, не встановлено законодавством.
( Пункт 10 із змінами, внесеними згідно з Постановою КМ N 938 (938-2011-п) від 07.09.2011 )
11. У системі здійснюється обов'язкова реєстрація:
результатів ідентифікації та автентифікації користувачів;
результатів виконання користувачем операцій з обробки інформації;
спроб несанкціонованих дій з інформацією;
фактів надання та позбавлення користувачів права доступу до інформації та її обробки;
результатів перевірки цілісності засобів захисту інформації.
Забезпечується можливість проведення аналізу реєстраційних даних виключно користувачем, якого уповноважено здійснювати управління засобами захисту інформації і контроль за захистом інформації в системі (адміністратор безпеки).
Реєстрація здійснюється автоматичним способом, а реєстраційні дані захищаються від модифікації та знищення користувачами, які не мають повноважень адміністратора безпеки.
Реєстрація спроб несанкціонованих дій з інформацією, що становить державну таємницю, і службовою інформацією повинна супроводжуватися повідомленням про них адміністратору безпеки (відповідальній особі).
( Абзац дев’ятий пункту 11 в редакції Постанови КМ N 92 (92-2021-п) від 08.02.2021 )
12. Ідентифікація та автентифікація користувачів, надання та позбавлення їх права доступу до інформації та її обробки, контроль за цілісністю засобів захисту в системі здійснюється автоматизованим способом.
13. Передача конфіденційної інформації, службової та таємної інформації через незахищене середовище (середовище, в якому циркулює інформація, стосовно якої відсутнє підтвердження відповідності захисту від усіх можливих загроз, імовірність прояву яких існує у цьому середовищі) здійснюється у зашифрованому вигляді або захищеними каналами зв’язку згідно з вимогами законодавства у сфері технічного та криптографічного захисту інформації, за винятком інформації, що передається через канали (лінії) зв’язку, які перебувають в межах контрольованої зони (територія (простір), на якій (в якому) унеможливлено несанкціоноване і неконтрольоване перебування сторонніх осіб, розміщення технічних і транспортних засобів).
( Пункт 13 із змінами, внесеними згідно з Постановою КМ N 938 (938-2011-п) від 07.09.2011; в редакції Постанови КМ N 92 (92-2021-п) від 08.02.2021 )
14. Підключення систем, у яких обробляється службова інформація та інформація, що становить державну таємницю, до глобальних мереж передачі даних здійснюється з використанням засобів криптографічного захисту інформації, які допущені до експлуатації для криптографічного захисту інформації відповідного ступеня обмеження доступу, та/або апаратних, апаратно-програмних засобів технічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері технічного захисту інформації та реалізують функції безпеки односпрямованої (односторонньої) передачі даних та/або двоспрямованої передачі даних з урахуванням їх змістовного аналізу.
В апаратно-програмних засобах технічного захисту інформації, які реалізують функції односпрямованої (односторонньої) передачі даних та або міжмережевого екранування (фільтрації) даних, що забезпечують захист службової інформації та інформації, що становить державну таємницю, рівень гарантії коректності надання функціональних послуг безпеки повинен бути не нижче третього.
Достатність впроваджених засобів захисту інформації обґрунтовується на етапі технічного проектування системи захисту інформації та оцінюється під час проведення державної експертизи комплексної системи захисту інформації.
( Пункт 14 із змінами, внесеними згідно з Постановою КМ N 938 (938-2011-п) від 07.09.2011; в редакції Постанови КМ N 92 (92-2021-п) від 08.02.2021 )
15. У системі здійснюється контроль за цілісністю програмного забезпечення, яке використовується для обробки інформації, запобігання несанкціонованій його модифікації та ліквідація наслідків такої модифікації.
Контролюється також цілісність програмних та технічних засобів захисту інформації. У разі порушення їх цілісності обробка в системі інформації припиняється.

Організаційні засади забезпечення захисту інформації

16. Для забезпечення захисту інформації в системі створюється комплексна система захисту інформації (далі - система захисту), яка призначається для захисту інформації від:
витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень, акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;
несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів;
спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.
Захист інформації від витоку технічними каналами забезпечується в системі у разі, коли в ній обробляється інформація, що становить державну таємницю, або коли відповідне рішення щодо необхідності такого захисту прийнято розпорядником інформації.
( Абзац п'ятий пункту 16 із змінами, внесеними згідно з Постановою КМ N 938 (938-2011-п) від 07.09.2011 )
Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів, забезпечується в усіх системах.
Захист інформації від спеціального впливу на засоби обробки інформації забезпечується в системі, якщо рішення про необхідність такого захисту прийнято розпорядником інформації.
( Абзац сьомий пункту 16 із змінами, внесеними згідно з Постановою КМ N 938 (938-2011-п) від 07.09.2011 )
Державні інформаційні ресурси та інформація з обмеженим доступом, крім державної таємниці, службової інформації та державних і єдиних реєстрів, створення та забезпечення функціонування яких визначено законами, можуть оброблятися в системі без застосування комплексної системи захисту інформації. Умови, за яких можна не застосовувати комплексну систему захисту інформації, визначені Законом України “Про захист інформації в інформаційно-телекомунікаційних системах” (80/94-ВР) .
( Пункт 16 доповнено абзацом згідно з Постановою КМ N 92 (92-2021-п) від 08.02.2021 )
У таких системах повинні бути виконані технічні та організаційні вимоги із захисту інформації, визначені цими Правилами.
( Пункт 16 доповнено абзацом згідно з Постановою КМ N 92 (92-2021-п) від 08.02.2021 )
17. Відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для цього заходів та створення системи захисту покладається на керівника (заступника керівника) організації, яка є власником (розпорядником) системи, та керівників її структурних підрозділів, що забезпечують створення та експлуатацію системи.
18. Організація та проведення робіт із захисту інформації в системі здійснюється службою захисту інформації, яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію системи захисту, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації.
Служба захисту інформації утворюється згідно з рішенням керівника організації, що є власником (розпорядником) системи.
У разі коли обсяг робіт, пов'язаних із захистом інформації в системі, є незначний, захист інформації може здійснюватися однією особою.
19. Захист інформації на всіх етапах створення та експлуатації системи здійснюється відповідно до розробленого службою захисту інформації плану захисту інформації в системі.
План захисту інформації в системі містить:
завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації;
визначення моделі загроз для інформації в системі;
основні вимоги щодо захисту інформації та правила доступу до неї в системі;
перелік документів, згідно з якими здійснюється захист інформації в системі;
перелік і строки виконання робіт службою захисту інформації.
20. Вимоги та порядок створення системи захисту встановлюються Адміністрацією Держспецзв'язку (далі - Адміністрація).
( Абзац перший пункту 20 із змінами, внесеними згідно з Постановою КМ N 1700 (1700-2006-п) від 08.12.2006 )
Вимоги до захисту інформації кожної окремої системи встановлюються технічним завданням на створення системи або системи захисту.
21. У складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.
У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту.
22. Порядок проведення державної експертизи системи захисту, державної експертизи засобів технічного і криптографічного захисту інформації встановлюється Адміністрацією.
( Зміни до абзацу першого пункту 22 див. в Постанові КМ N 991 (991-2020-п) від 21.10.2020 )
Органи виконавчої влади, військові формування, створені відповідно до закону, які мають дозвіл на проведення робіт з технічного захисту інформації для власних потреб, мають право організовувати проведення державної експертизи систем захисту на підприємствах, в установах, організаціях, закладах, військових з’єднаннях та частинах, які належать до їх сфери управління або підпорядковані їм. Порядок проведення такої експертизи встановлюється органом виконавчої влади, військовим формуванням, створеним відповідно до закону, за погодженням з Адміністрацією.
( Пункт 22 із змінами, внесеними згідно з Постановою КМ N 1700 (1700-2006-п) від 08.12.2006; в редакції Постанови КМ N 92 (92-2021-п) від 08.02.2021 ) ( Пункт 23 виключено на підставі Постанови КМ N 92 (92-2021-п) від 08.02.2021 )
24. Контроль за забезпеченням захисту інформації в системі полягає у перевірці виконання вимог з технічного та криптографічного захисту інформації та здійснюється у порядку, визначеному Адміністрацією.
( Пункт 24 із змінами, внесеними згідно з Постановою КМ N 1700 (1700-2006-п) від 08.12.2006 )
25. У системі, яка складається з кількох інформаційних та (або) телекомунікаційних систем, ці Правила можуть застосовуватися до кожної складової частини окремо.