Тип: Наказ
№ 771
Дата: 30 серпня 2023 р.
Статус: Чинний
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
30.08.2023 № 771
Зареєстровано в Міністерстві
юстиції України
15 вересня 2023 р.
за № 1624/40680
Про затвердження Положення про систему захищеного доступу державних органів до мережі Інтернет
Відповідно до пункту 1 частини другої та частини п'ятої статті 8 Закону України «Про основні засади забезпечення кібербезпеки України», пункту 9 Загальних вимог до кіберзахисту об'єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 року № 518, підпункту 957 пункту 4 та пункту 10 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, з метою забезпечення нормативно-правового врегулювання питання функціонування системи захищеного доступу державних органів до мережі Інтернет НАКАЗУЮ:
1. Затвердити Положення про систему захищеного доступу державних органів до мережі Інтернет, що додається.
2. Департаменту кіберзахисту Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити в установленому порядку подання цього наказу на державну реєстрацію до Міністерства юстиції України.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України відповідно до розподілу обов'язків.
Голова Служби
Ю. Щиголь
ПОГОДЖЕНО:
Перший заступник
Міністра цифрової трансформації України
О. Вискуб
ЗАТВЕРДЖЕНО
Наказ Адміністрації Державної
служби спеціального зв'язку
та захисту інформації України
30 серпня 2023 року № 771
Зареєстровано в Міністерстві
юстиції України
15 вересня 2023 р.
за № 1624/40680
ПОЛОЖЕННЯ
про систему захищеного доступу державних органів до мережі Інтернет
I. Загальні положення
1. Це Положення визначає призначення, склад та питання функціонування системи захищеного доступу державних органів до мережі Інтернет.
2. У цьому Положенні терміни вживаються в такому значенні:
DDoS-атака (Distributed denial of service - розподілена атака на відмову в обслуговуванні) - вплив на інформаційну (автоматизовану), електронну комунікаційну, інформаційно-комунікаційну систему (далі - ІКС), що полягає у надсиланні великої кількості зовнішніх запитів з різних IP-адрес на використання розміщених в ній ресурсів з наміром зробити вказані ресурси недоступними користувачам;
DNS (Domain Name System - система доменних імен) - ієрархічна розподілена система перетворення імені хоста в IP-адресу;
DNS-сервер - програмно-апаратний комплекс, який містить базу даних IP-адрес і пов'язаних з ними імен хостів;
IP-адреса - унікальний числовий номер, який використовується для ідентифікації обладнання в мережі, що побудована з використанням стандартів і правил передачі пакетів даних (мережевого трафіка);
захищений доступ до мережі Інтернет - доступ кінцевого (термінального) обладнання користувача та його логічне з'єднання з кінцевими точками мережі Інтернет з дотриманням прийнятих політик інформаційної безпеки, що забезпечується послугами з кіберзахисту та механізмами безпеки комплексної системи захисту інформації системи захищеного доступу державних органів до мережі Інтернет з підтвердженою відповідністю;
користувачі системи захищеного доступу державних органів до мережі Інтернет (далі - користувачі Системи) - користувачі та спеціальні користувачі Національної телекомунікаційної мережі;
політика інформаційної безпеки - набір вимог, правил, обмежень, рекомендацій тощо, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз;
система захищеного доступу державних органів до мережі Інтернет (далі - Система) - сукупність програмних і програмно-апаратних засобів (далі - засоби Системи) Державного центру кіберзахисту Державної служби спеціального зв'язку та захисту інформації України (далі - ДЦКЗ Держспецзв'язку), об'єднаних в єдиний комплекс, призначений для забезпечення захищеного доступу до мережі Інтернет.
3. Інші терміни вживаються у значенні, наведеному в Законах України «Про захист інформації в інформаційно-комунікаційних системах», «Про електронні комунікації», «Про основні засади забезпечення кібербезпеки України», Порядку функціонування Національної телекомунікаційної мережі та Правилах надання послуг, які надаються з використанням Національної телекомунікаційної мережі, затверджених постановою Кабінету Міністрів України від 16 грудня 2020 року № 1358.
II. Призначення та склад Системи
1. Система входить до технологічної інфраструктури кіберзахисту організаційно-технічної моделі кіберзахисту та забезпечує взаємодію Національної телекомунікаційної мережі з мережею Інтернет у частині, що стосується відкритої інформації.
2. Система призначена для забезпечення організації логічного з'єднання ІКС користувачів Системи з мережею Інтернет через захищений вузол Інтернет-доступу з виділенням публічних або приватних IP-адрес та захисту зазначених ІКС від мережевих атак з використанням функціональних можливостей засобів Системи, що здатні активно протидіяти цільовим атакам, шляхом:
створення периметра безпеки, який відокремлює внутрішні мережі користувачів Системи від мережевих атак;
захисту ІКС користувачів Системи від мережевих атак;
приховування структури внутрішніх мереж користувачів Системи;
виявлення та блокування мережевих атак на публічні сервіси і ресурси користувачів Системи;
проведення антивірусної та антиспам-фільтрації пакетів даних (мережевого трафіка);
проведення інших заходів, визначених політиками інформаційної безпеки користувачів Системи.
ДЦКЗ Держспецзв'язку також використовує можливості Системи з метою надання захищеного доступу до мережі Інтернет структурним підрозділам Адміністрації Державної служби спеціального зв'язку та захисту інформації України, її територіальним органам, територіальним підрозділам, закладам, установам та організації, які входять до структури Державної служби спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку), підприємствам, установам, організаціям, що належать до сфери управління Адміністрації Держспецзв'язку (захищений вузол Інтернет-доступу Держспецзв'язку), для власних потреб, у тому числі для організації логічних з'єднань з мережею Інтернет систем і засобів кіберзахисту, функціонування яких забезпечує ДЦКЗ Держспецзв'язку.
3. Система з метою інформаційного обміну щодо кіберінцидентів, виявлення і припинення кібератак взаємодіє із системою виявлення вразливостей і реагування на кіберінциденти та кібератаки.
4. Система складається з територіально розподілених захищених вузлів Інтернет-доступу - основного та резервних.
Основними складовими кожного з вузлів Системи є:
транспортна підсистема;
підсистема забезпечення інформаційної безпеки;
підсистема керування та моніторингу (Центр управління Системою).
5. Транспортна підсистема забезпечує транспорт пакетів даних (мережевого трафіка) в Системі між її граничними маршрутизаторами.
Транзит пакетів даних (мережевого трафіка) між основним та резервними захищеними вузлами Інтернет-доступу здійснюється з використанням ресурсу транспортної платформи Національної телекомунікаційної мережі.
6. Підсистема забезпечення інформаційної безпеки забезпечує здійснення фільтрації та аналізу пакетів даних (мережевого трафіка), які проходять між користувачами та мережею Інтернет, і у разі виявлення загрози та шкідливого коду - автоматичне їх блокування відповідно до політик інформаційної безпеки.
Підсистема забезпечує:
резервування DNS-сервера, протидію кібератакам, які здійснюються з використанням підмінних (несправжніх, помилкових) DNS-серверів, відповідей DNS;
захист від надходження шкідливих пакетів даних (мережевого трафіка);
виявлення та автоматичне блокування спроб несанкціонованого доступу до ІКС;
забезпечення безпечного доступу до програм і ресурсів з використанням віртуальних захищених мереж;
забезпечення захисту службової електронної пошти Держспецзв'язку;
захист від DDoS-атак на електронні інформаційні ресурси Держспецзв'язку.
7. Підсистема керування та моніторингу (Центр управління Системою) забезпечує управління Системою, взаємодію компонентів підсистеми інформаційної безпеки та транспортної підсистеми, моніторинг доступності вебресурсів і маршрутів трафіка, моніторинг та аналіз технічного стану Системи.
III. Порядок забезпечення функціонування Системи
1. ДЦКЗ Держспецзв'язку, як технічний адміністратор Національної телекомунікаційної мережі, створює та забезпечує функціонування складових частин Системи, в тому числі побудову системи активного кіберзахисту у частині забезпечення відповідними технологічними можливостями захисту ІКС, і надає послуги Системи в порядку та на умовах, визначених Правилами надання послуг, які надаються з використанням Національної телекомунікаційної мережі, затвердженими постановою Кабінету Міністрів України від 16 грудня 2020 року № 1358.
2. Права, обов'язки та відповідальність ДЦКЗ Держспецзв'язку, як технічного адміністратора Національної телекомунікаційної мережі, механізм його взаємодії з іншими суб'єктами Національної телекомунікаційної мережі та користувачами Системи, а також права та обов'язки користувачів Системи визначені в Порядку функціонування Національної телекомунікаційної мережі, затвердженому постановою Кабінету Міністрів України від 16 грудня 2020 року № 1358.
3. Матеріально-технічне і фінансове забезпечення створення, функціонування та розвитку складових Системи, в тому числі побудови системи активного кіберзахисту у частині забезпечення відповідними технологічними можливостями захисту електронних комунікаційних систем, здійснюється за рахунок і в межах кошторисних призначень ДЦКЗ Держспецзв'язку на відповідний рік, коштів, одержаних ДЦКЗ Держспецзв'язку від надання послуг Системи, а також інших джерел, не заборонених законодавством.
4. Обробка інформації у Системі здійснюється з дотриманням вимог законодавства у сферах захисту інформації в ІКС та кіберзахисту.
Директор Департаменту
кіберзахисту Адміністрації
Державної служби спеціального
зв'язку та захисту
інформації України
Д. Мялковський