Законодавство

Відповідність комплексних систем захисту інформації треба декларувати

Опубліковано

04.06.2024

Набрала чинності постанова Кабінету Міністрів України від 30 травня 2024 р. № 627, якою визначено механізм реалізації експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням базових та цільових профілів безпеки інформації.

Координатором експериментального проекту є Адміністрація Державної служби спеціального зв’язку та захисту інформації, учасниками – центральні та місцеві органи виконавчої влади, інші державні органи і підприємства, установи та організації, що належать до сфери їх управління, органи військового управління та військові формування, утворені відповідно до закону.

Створення комплексних систем захисту інформації в системах з використанням базових та цільових профілів та декларування відповідності таких комплексних систем здійснюється за такими етапами:

– визначення для систем цільового профілю відповідно до базового профілю;

– створення комплексних систем захисту інформації в системах відповідно до базових та цільових профілів;

– оцінка достатності заходів захисту інформації комплексних систем захисту інформації в системах, створених з використанням профілів безпеки;

– декларування відповідності комплексних систем захисту інформації в системах, створених з використанням профілів безпеки.

Читайте також: Балансування на межі: свобода слова проти національної безпеки в цифровому вимірі України

Після виконання всіх етапів та вимог власник (розпорядник) системи декларує відповідність комплексної системи захисту інформації в системі, створеної з використанням базових та цільових профілів.

Декларація про відповідність комплексної системи захисту інформації в системі, створеної з використанням базових та цільових профілів безпеки інформації, подається до Адміністрації Держспецзв’язку власником (розпорядником) системи в електронній формі.

Строк дії декларації становить три роки з дня підтвердження її відповідності.

Дата подання декларації до Адміністрації Держспецзв’язку вважається датою підтвердження відповідності комплексної системи захисту інформації та не потребує відповіді Адміністрації Держспецзв’язку.

Адміністрація Держспецзв’язку протягом двох робочих днів з дня надходження декларації публікує на власному офіційному веб-сайті інформацію про декларанта (ідентифікатор/назва системи, найменування власника системи, дата подання декларації, дата закінчення дії декларації, стан декларації), крім матеріалів, що містять інформацію з обмеженим доступом.

Власник (розпорядник) системи несе відповідальність за відповідність комплексних систем захисту інформації в системах, створених з використанням базових та цільових профілів, повноту та достатність визначених у цільовому профілі безпеки заходів із захисту інформації, обрані стандарти, шляхи і способи здійснення таких заходів відповідно до вимог законодавства у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, нормативних документів системи технічного захисту інформації, галузевих вимог, політик безпеки в системах, а також призначення системи, її характеристик та особливостей функціонування, результатів проведеної оцінки ризиків.

Експериментальний проект реалізовуватиметься протягом двох років з дня набрання чинності цією постановою.

Також зверніть увагу на Правові позиції Верховного Суду щодо кримінальних правопорушень, пов’язаних з війною, та збірник Воєнний стан. Всі нормативні матеріали, алгоритми дій, роз’яснення, корисні ресурси.