.png)
АДМIНIСТРАЦIЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦIАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ IНФОРМАЦIЇ УКРАЇНИ
НАКАЗ
| вiд 16 травня 2007 року | N 87 |
|---|
Про затвердження Положення про державний
контроль за станом технiчного захисту iнформацiї
| Зареєстровано в Мiнiстерствi юстицiї України 10 липня 2007 р. за N 785/14052 |
Iз змiнами i доповненнями, внесеними
наказами Адмiнiстрацiї Державної служби
спецiального зв'язку та захисту iнформацiї
України
вiд 8 грудня 2008 року N 192,
вiд 20 травня 2013 року N 275,
вiд 28 липня 2014 року N 360
Вiдповiдно до Закону України "Про Державну службу спецiального зв'язку та захисту iнформацiї України" наказую:
1. Затвердити Положення про державний контроль за станом технiчного захисту iнформацiї, що додається.
2. Департаменту державного контролю за станом криптографiчного та технiчного захисту iнформацiї Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України забезпечити подання цього наказу на державну реєстрацiю до Мiнiстерства юстицiї України.
3. Визнати таким, що втратив чиннiсть, наказ Департаменту спецiальних телекомунiкацiйних систем та захисту iнформацiї Служби безпеки України вiд 22.12.99 N 61 "Про затвердження Положення про контроль за функцiонуванням системи технiчного захисту iнформацiї", зареєстрований у Мiнiстерствi юстицiї України 11.01.2000 за N 10/4231.
4. Контроль за виконанням наказу покласти на заступника Голови Держспецзв'язку вiдповiдно до розподiлу функцiональних обов'язкiв.
| (пункт 4 у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) | |
| Голова Служби |
Ю. Б. Чеботаренко |
| ЗАТВЕРДЖЕНО наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 16 травня 2007 р. N 87 |
|
| Зареєстровано в Мiнiстерствi юстицiї України 10 липня 2007 р. за N 785/14052 |
ПОЛОЖЕННЯ
про державний контроль за станом технiчного
захисту iнформацiї
(У текстi Положення слова "iнформацiї, яка є власнiстю держави, або iнформацiї з обмеженим доступом" замiнено словами "державних iнформацiйних ресурсiв та iнформацiї"; слова "регiональний орган" у всiх вiдмiнках та числах замiнено словами "територiальний орган Адмiнiстрацiї" у вiдповiдних вiдмiнках та числах згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 28 липня 2014 року N 360) |
1. Загальнi положення
1.1. Це Положення визначає порядок органiзацiї та здiйснення державного контролю за станом технiчного захисту державних iнформацiйних ресурсiв та iнформацiї, вимога щодо захисту якої встановлена законом.
Державний контроль за станом технiчного захисту iнформацiї (далi - ТЗI) здiйснюється Державною службою спецiального зв'язку та захисту iнформацiї України (далi - Держспецзв'язку) вiдповiдно до Законiв України "Про Державну службу спецiального зв'язку та захисту iнформацiї України", "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах" та Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї України, затвердженого Указом Президента України вiд 30 червня 2011 року N 717.
| (абзац другий пункту 1.1 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 20.05.2013р. N 275) |
1.2. Дiя Положення поширюється на всi суб'єкти системи технiчного захисту iнформацiї.
Державний контроль за станом технiчного захисту державних iнформацiйних ресурсiв та iнформацiї, вимога щодо захисту якої встановлена законом, здiйснюється в органах державної влади, органах мiсцевого самоврядування, утворених вiдповiдно до законодавства вiйськових формуваннях, на пiдприємствах, в установах i органiзацiях незалежно вiд форми власностi, у тому числi в закордонних дипломатичних установах України, а також мiсцях постiйного i тимчасового перебування вищих посадових осiб держави (далi - органи, щодо яких здiйснюється ТЗI).
1.3. У Положеннi наведенi нижче термiни вживаються у таких значеннях:
об'єкти протидiї (ОПД) - озброєння, вiйськова та спецiальна технiка, об'єкти оборонно-промислового комплексу, вiйськовi об'єкти та об'єкти, використання яких передбачено в ходi проведення заходiв з мобiлiзацiї, iншi об'єкти, призначенi для застосування в iнтересах оборони i безпеки держави;
| (пункт 1.3 роздiлу 1 доповнено новим абзацом другим згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
вiдомостi, що охороняються, - секретна iнформацiя стосовно ОПД, що становить державну таємницю;
| (пункт 1.3 роздiлу 1 доповнено новим абзацом третiм згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192, у зв'язку з цим абзаци другий - восьмий вважати вiдповiдно абзацами четвертим - десятим) |
контрольно-iнспекторська робота з питань ТЗI - дiяльнiсть, спрямована на визначення та вдосконалення стану ТЗI в органах, щодо яких здiйснюється ТЗI;
об'єкт "особливої норми" - мiсце постiйного або тимчасового перебування посадової особи, щодо якої здiйснюється державна охорона, призначене для здiйснення нею дiяльностi, пов'язаної з iнформацiєю, необхiднiсть захисту якої визначено законодавством;
| (абзац п'ятий пункту 1.3 роздiлу 1 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
передумови витоку (просочення) iнформацiї технiчними каналами - наявнiсть технiчного каналу поширення iнформацiї за вiдсутностi пiдтвердженої вiдповiдностi впроваджених заходiв вимогам та нормам з ТЗI;
порушення в сферi ТЗI - невиконання вимог нормативно-правових актiв та нормативних документiв системи ТЗI за категорiями, якi визначають можливiсть реалiзацiї загроз безпецi iнформацiї;
реальна загроза витоку (просочення) iнформацiї технiчними каналами - наявнiсть технiчного каналу поширення iнформацiї за умов пiдтвердження вiдповiдними iнструментально-розрахунковими методами невiдповiдностi впроваджених заходiв вимогам та нормам з ТЗI;
технiчний канал поширення iнформацiї - сукупнiсть джерела iнформацiї та середовища її поширення.
Iншi термiни вживаються в Положеннi у значеннях, визначених у Законах України "Про державну таємницю", "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах", "Про iнформацiю", "Про Державну службу спецiального зв'язку та захисту iнформацiї України" та ДСТУ 3396.2-97 "Технiчний захист iнформацiї. Термiни та визначення", НД ТЗI 1.1-003-99 "Термiнологiя в галузi захисту iнформацiї в комп'ютерних системах вiд несанкцiонованого доступу".
1.4. Державний контроль за станом ТЗI полягає в перевiрцi виконання вимог нормативно-правових актiв i нормативних документiв з ТЗI та здiйснюється з метою визначення стану ТЗI в органах, щодо яких здiйснюється ТЗI, виявлення порушень з ТЗI та запобiгання їм.
1.5. Державний контроль за станом ТЗI здiйснюється Держспецзв'язку шляхом органiзацiї та проведення контрольно-iнспекторської роботи з питань ТЗI стосовно органiв, щодо яких здiйснюється ТЗI.
1.6. Контрольно-iнспекторська робота з питань ТЗI включає планування, проведення iнспекцiйних перевiрок стану ТЗI в органах, щодо яких здiйснюється ТЗI (далi - перевiрка), аналiз їх результатiв та надання рекомендацiй щодо вдосконалення стану ТЗI в зазначених органах.
1.7. За результатами контрольно-iнспекторської роботи здiйснюються аналiз та узагальнення стану ТЗI в державi.
Аналiтичнi матерiали щодо стану ТЗI в державi подаються Президентовi України, Головi Верховної Ради України i Прем'єр-мiнiстру України.
2. Органiзацiя проведення перевiрок стану ТЗI
2.1. Перевiрки стану ТЗI подiляються на комплекснi, цiльовi (тематичнi) та контрольнi. Зазначенi перевiрки можуть бути плановими та позаплановими.
2.2. При комплекснiй перевiрцi визначається вiдповiднiсть комплексу ТЗI (комплексної системи захисту iнформацiї) та заходiв протидiї технiчним розвiдкам вимогам нормативно-правових актiв та нормативних документiв системи ТЗI.
| (пункт 2.2 роздiлу 2 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
2.3. При цiльовiй (тематичнiй) перевiрцi перевiряються окремi складовi комплексу ТЗI (комплексної системи захисту iнформацiї) та заходiв протидiї технiчним розвiдкам на вiдповiднiсть упроваджених заходiв вимогам нормативно-правових актiв та нормативних документiв системи ТЗI.
| (пункт 2.3 роздiлу 2 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
2.4. При контрольнiй перевiрцi перевiряється повнота та достатнiсть проведених заходiв щодо усунення недолiкiв, якi були виявленi в ходi проведення попередньої комплексної або цiльової перевiрки. Контрольнi перевiрки проводяться за потреби, як правило, пiсля отримання повiдомлення про усунення недолiкiв.
2.5. Плановi перевiрки здiйснюються згiдно з рiчним планом контрольно-iнспекторської роботи з питань ТЗI, затвердженим Головою Держспецзв'язку. Витяги з плану контрольно-iнспекторської роботи надсилаються до центральних органiв виконавчої влади та в разi потреби до пiдприємств, установ i органiзацiй.
2.6. Позаплановi перевiрки здiйснюються у разi наявностi вiдомостей щодо порушень виконання вимог нормативно-правових актiв з питань ТЗI або з метою визначення повноти та достатностi заходiв з ТЗI, вжитих органами, щодо яких здiйснюється ТЗI. Зазначенi перевiрки можуть проводитися з попередженням або без попередження.
2.7. Керiвництву органiв, щодо яких здiйснюється ТЗI, повiдомляється про проведення перевiрки не менше нiж за десять дiб до її початку (за винятком проведення позапланової перевiрки).
2.8. Перевiрки стану ТЗI здiйснюються посадовими особами структурного пiдроздiлу Адмiнiстрацiї Держспецзв'язку з питань державного контролю за станом криптографiчного та технiчного захисту iнформацiї i територiальних органiв Адмiнiстрацiї Держспецзв'язку. До перевiрок можуть залучатися фахiвцi iнших пiдроздiлiв Держспецзв'язку, а також органiв державної влади, органiв мiсцевого самоврядування, вiйськових формувань, пiдприємств, установ i органiзацiй за погодженням з їх керiвниками.
| (пункт 2.8 роздiлу 2 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
2.9. Пiдставою для допуску посадових осiб Держспецзв'язку до перевiрки стану ТЗI є наявнiсть припису (додаток 1) на право проведення перевiрки за пiдписом керiвництва Адмiнiстрацiї Держспецзв'язку або начальника територiального органу Адмiнiстрацiї Держспецзв'язку.
2.10. Посадовi особи Держспецзв'язку, включенi до припису на право проведення перевiрки, є уповноваженими особами для складання протоколiв про адмiнiстративнi правопорушення.
3. Права посадових осiб Держспецзв'язку
3.1. Посадовi особи Держспецзв'язку, якi здiйснюють перевiрки стану ТЗI, мають право:
доступу на об'єкти iнформацiйної дiяльностi органiв, щодо яких здiйснюється ТЗI, для здiйснення державного контролю за станом ТЗI, а також до iнших примiщень (на територiю, у споруди тощо) для вивчення питань, безпосередньо пов'язаних з перевiркою;
ознайомлюватися з будь-якими документами, необхiдними для перевiрки;
безкоштовно отримувати копiї необхiдних документiв, письмовi пояснення посадових осiб (довiдки тощо) з питань, що виникають пiд час перевiрки;
надавати за результатами перевiрок рекомендацiї щодо приведення стану ТЗI у вiдповiднiсть до вимог нормативно-правових актiв та здiйснювати контроль за ходом їх виконання;
порушувати в установленому порядку питання щодо зупинення дiї або скасування спецiальних дозволiв на провадження дiяльностi, пов'язаної з державною таємницею, у разi виявлення порушень з технiчного захисту секретної iнформацiї;
складати протоколи про адмiнiстративнi правопорушення та надавати до суду на розгляд справи про адмiнiстративнi правопорушення.
3.2. При встановленнi фактiв вчинення порушень, передбачених Кодексом України про адмiнiстративнi правопорушення, посадовими особами Держспецзв'язку, у межах повноважень, визначених статтею 255 Кодексу України про адмiнiстративнi правопорушення, складається протокол про адмiнiстративне правопорушення.
4. Порядок проведення перевiрок стану ТЗI
4.1. Для проведення перевiрки стану ТЗI посадовi особи Держспецзв'язку повиннi пред'явити керiвнику або вповноваженому представнику органу, щодо якого здiйснюється ТЗI, припис на право проведення перевiрки та службовi посвiдчення.
4.2. При проведеннi перевiрки стану ТЗI контролю пiдлягають повнота та достатнiсть упроваджених на об'єктах iнформацiйної дiяльностi та об'єктах протидiї заходiв з ТЗI, їх вiдповiднiсть вимогам нормативно-правових актiв, виконання рекомендацiй щодо усунення порушень з ТЗI.
| (пункт 4.2 роздiлу 4 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
4.3. За результатами перевiрок посадовими особами Держспецзв'язку, якi їх здiйснювали, складаються акти перевiрок стану ТЗI.
4.4. Акт комплексної перевiрки стану ТЗI складається за встановленою формою (додаток 2). Акти контрольних та цiльових (тематичних) перевiрок складаються у довiльнiй формi.
4.5. Акт перевiрки стану ТЗI готується в двох примiрниках. Перший примiрник акта перевiрки надсилається до суб'єкта системи ТЗI, що перевiрявся, другий - до структурного пiдроздiлу Адмiнiстрацiї Держспецзв'язку з питань державного контролю за станом криптографiчного та технiчного захисту iнформацiї.
У разi проведення перевiрки територiальним органом Адмiнiстрацiї Держспецзв'язку готується третiй примiрник, який надсилається до органу Держспецзв'язку, посадовi особи якого здiйснювали перевiрку.
4.6. Усi примiрники акта пiдписуються посадовими особами Держспецзв'язку, якими проводилася перевiрка, та затверджуються керiвником Адмiнiстрацiї Держспецзв'язку або начальником територiального органу Адмiнiстрацiї Держспецзв'язку, який пiдписав припис на проведення перевiрки.
Ознайомлення керiвника органу, щодо якого здiйснюється ТЗI, з актом здiйснюється за його пiдписом.
4.7. У разi вiдмови керiвника органу, щодо якого здiйснюється ТЗI, засвiдчити факт ознайомлення з актом перевiрки своїм пiдписом, посадовими особами Держспецзв'язку, що здiйснювали перевiрку, робиться в актi вiдповiдний запис.
5. Квалiфiкацiя порушень з ТЗI
5.1. Порушення вимог з ТЗI подiляються на три категорiї, якi визначають можливiсть реалiзацiї загроз безпецi iнформацiї:
перша категорiя - невиконання вимог нормативно-правових актiв та нормативних документiв з ТЗI, унаслiдок чого створюється реальна загроза порушення конфiденцiйностi, зокрема за рахунок витоку (просочення) технiчними каналами, та (або) цiлiсностi й доступностi iнформацiї;
| (абзац другий пункту 5.1 роздiлу 5 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
друга категорiя - невиконання вимог нормативно-правових актiв та нормативних документiв з ТЗI, унаслiдок чого створюються передумови до порушення конфiденцiйностi, зокрема за рахунок витоку (просочення) технiчними каналами, та (або) цiлiсностi й доступностi iнформацiї;
| (абзац третiй пункту 5.1 роздiлу 5 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
третя категорiя - невиконання iнших вимог з ТЗI.
5.2. Квалiфiкацiйнi ознаки порушень з ТЗI
Ознаки порушень першої категорiї:
установлення факту циркуляцiї iнформацiї з обмеженим доступом на об'єктах iнформацiйної дiяльностi, в iнформацiйних або iнформацiйно-телекомунiкацiйних системах за умов пiдтвердження iнструментально-розрахунковими методами наявностi технiчного каналу поширення iнформацiї з обмеженим доступом;
установлення факту обробки iнформацiї з обмеженим доступом в iнформацiйних, телекомунiкацiйних або iнформацiйно-телекомунiкацiйних системах, якi мають вихiд незахищеними каналами зв'язку за межi контрольованої зони, за умов вiдсутностi атестата вiдповiдностi на комплексну систему захисту iнформацiї;
| (абзац четвертий пункту 5.2 роздiлу 5 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
установлення факту обробки iнформацiї з обмеженим доступом в iнформацiйних або iнформацiйно-телекомунiкацiйних системах, якi не мають виходу за межi контрольованої зони, за умов доступу до її iнформацiйних ресурсiв користувачiв, якi мають рiзнi повноваження (права доступу до iнформацiї), та вiдсутностi атестата вiдповiдностi на комплексну систему захисту iнформацiї;
установлення факту обробки державних iнформацiйних ресурсiв в iнформацiйно-телекомунiкацiйних системах, якi мають пiдключення до телекомунiкацiйних мереж (у тому числi телекомунiкацiйних мереж загального користування), за умов вiдсутностi атестата вiдповiдностi на комплексну систему захисту iнформацiї;
| (пункт 5.2 роздiлу 5 доповнено новим абзацом шостим згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192, у зв'язку з цим абзаци шостий - десятий вважати вiдповiдно абзацами сьомим - одинадцятим, абзац шостий пункту 5.2 роздiлу 5 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 28.07.2014р. N 360) |
установлення факту несанкцiонованого доступу користувачiв iнформацiйних, телекомунiкацiйних або iнформацiйно-телекомунiкацiйних систем до державних iнформацiйних ресурсiв або iнформацiї з обмеженим доступом шляхом порушення встановлених правил розмежування доступу або подолання заходiв захисту.
| (абзац сьомий пункту 5.2 роздiлу 5 iз змiнами, внесеними згiдно з наказами Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192, вiд 28.07.2014р. N 360) |
Ознаки порушень другої категорiї:
установлення факту циркуляцiї iнформацiї з обмеженим доступом на об'єктах iнформацiйної дiяльностi, в iнформацiйних, телекомунiкацiйних або iнформацiйно-телекомунiкацiйних системах за умов вiдсутностi пiдтвердження iнструментально-розрахунковими методами вiдповiдностi комплексу ТЗI нормам та вимогам з ТЗI;
| (абзац дев'ятий пункту 5.2 роздiлу 5 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
установлення факту обробки iнформацiї з обмеженим доступом в iнформацiйно-телекомунiкацiйних системах, якi мають вихiд за межi контрольованої зони захищеними каналами, за умов вiдсутностi атестата вiдповiдностi на комплексну систему захисту iнформацiї;
| (пункт 5.2 роздiлу 5 доповнено новим абзацом десятим згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192, у зв'язку з цим абзаци десятий та одинадцятий вважати вiдповiдно абзацами одинадцятим та дванадцятим) |
установлення факту обробки державних iнформацiйних ресурсiв або iнформацiї з обмеженим доступом в iнформацiйних, телекомунiкацiйних або iнформацiйно-телекомунiкацiйних системах, якi не мають виходу за межi контрольованої зони, за умов вiдсутностi атестата вiдповiдностi на комплексну систему захисту iнформацiї.
| (абзац одинадцятий пункту 5.2 роздiлу 5 iз змiнами, внесеними згiдно з наказами Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192, вiд 28.07.2014р. N 360) |
Невиконання вимог нормативно-правових актiв щодо впровадження органiзацiйних заходiв з ТЗI, а також iнших норм та вимог у сферi захисту iнформацiї, якi не призводять до порушень першої або другої категорiї, квалiфiкується як порушення третьої категорiї.
Визначення ознак порушень з протидiї технiчним розвiдкам за вiдповiдними категорiями та їх квалiфiкацiя здiйснюються згiдно з вимогами нормативних документiв системи ТЗI.
| (пункт 5.2 роздiлу 5 доповнено абзацом тринадцятим згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
6. Висновки перевiрок стану ТЗI та рекомендацiї
6.1. Висновок перевiрки є результатом адмiнiстративно-правової оцiнки стану ТЗI, повноти та достатностi заходiв щодо впровадження комплексу технiчного захисту iнформацiї (комплексної системи захисту iнформацiї) та заходiв протидiї технiчним розвiдкам, їх вiдповiдностi вимогам нормативно-правових актiв з ТЗI.
| (абзац перший пункту 6.1 роздiлу 6 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
Основним критерiєм вiдповiдностi стану ТЗI вимогам нормативних документiв та нормативно-правових актiв є вiдсутнiсть порушень з ТЗI.
6.2. Висновки перевiрок стану ТЗI та критерiї їх складання:
6.2.1. Стан технiчного захисту iнформацiї вiдповiдає вимогам нормативно-правових актiв.
Критерiєм висновку є вiдсутнiсть будь-яких порушень норм та вимог з ТЗI.
6.2.2. Стан технiчного захисту iнформацiї вiдповiдає вимогам нормативно-правових актiв за винятком виявлених недолiкiв.
Критерiєм висновку є наявнiсть хоча б одного порушення з ТЗI третьої категорiї.
6.2.3. Стан технiчного захисту iнформацiї не повною мiрою вiдповiдає вимогам нормативно-правових актiв, що створює передумови для порушення її конфiденцiйностi, цiлiсностi, доступностi та (або) витоку технiчними каналами, а також витоку вiдомостей про ОПД, що охороняються.
| (абзац перший пiдпункту 6.2.3 пункту 6.2 роздiлу 6 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
Критерiєм висновку є наявнiсть хоча б одного порушення з ТЗI другої категорiї.
6.2.4. Стан технiчного захисту iнформацiї не вiдповiдає вимогам нормативно-правових актiв, що створює реальну загрозу порушення її конфiденцiйностi, цiлiсностi, доступностi та (або) витоку технiчними каналами, а також витоку вiдомостей про ОПД, що охороняється.
| (абзац перший пiдпункту 6.2.4 пункту 6.2 роздiлу 6 у редакцiї наказу Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
Критерiєм висновку є наявнiсть хоча б одного порушення з ТЗI першої категорiї.
6.3. Висновок за результатами контрольної перевiрки, крiм оцiнки стану ТЗI, повинен вiдображати повноту виконання рекомендацiй (виконано, не виконано, виконано не в повному обсязi) щодо приведення стану ТЗI у вiдповiднiсть до вимог нормативно-правових актiв та нормативних документiв з ТЗI, наданих в актi попередньої перевiрки.
6.4. Висновок за результатами цiльової (тематичної) перевiрки повинен визначати оцiнку стану ТЗI в окремих складових комплексу технiчного захисту iнформацiї (комплексної системи захисту iнформацiї) та/або заходiв протидiї, що перевiрялися.
| (пункт 6.4 роздiлу 6 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 08.12.2008р. N 192) |
6.5. З метою приведення стану ТЗI у вiдповiднiсть до вимог нормативно-правових актiв та нормативних документiв з ТЗI, посадовими особами Держспецзв'язку, якi здiйснювали перевiрку, в актi перевiрки надаються конкретнi рекомендацiї щодо усунення виявлених порушень, виконання яких є обов'язковим для посадових осiб органiв, щодо яких здiйснюється ТЗI.
6.6. Для з'ясування причин, якi призвели до порушень першої категорiї, а також притягнення осiб, якi їх вчинили, до вiдповiдальностi посадовими особами Держспецзв'язку iнiцiюється проведення вiдповiдних розслiдувань.
6.7. У разi виявлення порушень з ТЗI першої або другої категорiї посадовими особами Держспецзв'язку, що здiйснювали перевiрку, у встановленому порядку можуть порушуватися питання про припинення iнформацiйної дiяльностi на вiдповiдних об'єктах.
Дозвiл на вiдновлення робiт, пiд час виконання яких були виявленi порушення норм i вимог з ТЗI першої або другої категорiї, дає керiвник органу, щодо якого здiйснюється ТЗI, за погодженням з Держспецзв'язку пiсля усунення порушень.
6.8. З метою приведення стану ТЗI у вiдповiднiсть до вимог нормативно-правових актiв та нормативних документiв з ТЗI, а також виконання рекомендацiй, наданих за результатами перевiрки, керiвниками органiв, щодо яких здiйснюється ТЗI, у мiсячний термiн пiсля отримання акта перевiрки затверджується план усунення недолiкiв, один примiрник якого надсилається до органу Держспецзв'язку, посадовими особами якого було здiйснено перевiрку.
6.9. Повiдомлення про виконання рекомендацiй щодо приведення стану ТЗI у вiдповiднiсть до вимог нормативно-правових актiв та нормативних документiв з ТЗI надсилається керiвнику пiдроздiлу Держспецзв'язку, посадовими особами якого було здiйснено перевiрку, у термiни, зазначенi в актi перевiрки та планi усунення недолiкiв.
6.10. Керiвники органiв, щодо яких здiйснюється ТЗI, мають право оскаржувати результати перевiрок у порядку, визначеному законодавством України.
7. Обов'язки та вiдповiдальнiсть
7.1. Посадовi особи органiв, щодо яких здiйснюється ТЗI, пiд час перевiрки зобов'язанi надавати всi необхiднi для проведення перевiрки документи та забезпечувати умови для її проведення.
7.2. За перешкоджання законнiй дiяльностi Держспецзв'язку при здiйсненнi державного контролю за станом ТЗI виннi особи несуть вiдповiдальнiсть згiдно iз законодавством України.
7.3. Посадовi особи та громадяни, виннi в невиконаннi норм i вимог технiчного захисту секретної iнформацiї, унаслiдок чого виникає реальна загроза порушенню конфiденцiйностi, зокрема за рахунок витоку (просочення) технiчними каналами, цiлiсностi й доступностi цiєї iнформацiї, несуть вiдповiдальнiсть згiдно iз законодавством України.
7.4. Керiвники органiв, щодо яких здiйснюється ТЗI, зобов'язанi вжити невiдкладних заходiв щодо виконання рекомендацiй, викладених в актах перевiрок, та несуть персональну вiдповiдальнiсть за приведення стану ТЗI у вiдповiднiсть до вимог нормативно-правових актiв системи ТЗI.
7.5. Посадовi особи Держспецзв'язку за порушення конституцiйних прав i свобод людини та громадянина у ходi здiйснення державного контролю за станом ТЗI несуть вiдповiдальнiсть згiдно iз законодавством України.
8. Проведення державного iнструментального контролю захищеностi iнформацiї, яка циркулює на об'єктах "особливої норми"
8.1. Державний iнструментальний контроль захищеностi iнформацiї, яка циркулює на об'єктах "особливої норми", здiйснюється з використанням iнструментально-розрахункових методiв з метою оцiнки повноти та достатностi впроваджених на об'єктах органiзацiйних, органiзацiйно-технiчних та технiчних заходiв iз захисту iнформацiї вiд поширення (просочення) технiчними каналами.
8.2. Державний iнструментальний контроль захищеностi iнформацiї, яка циркулює на об'єктах "особливої норми", здiйснюється шляхом проведення:
спецiальних обстежень об'єктiв "особливої норми", у ходi яких перевiряються повнота та достатнiсть упроваджених органiзацiйних, органiзацiйно-технiчних та технiчних заходiв iз захисту iнформацiї вiд поширення (просочення) технiчними каналами, у тому числi каналами, що створюються за рахунок застосування закладних пристроїв, вiдповiднiсть упроваджених заходiв вимогам нормативно-правових актiв, а також наявнiсть атестацiйних документiв, якi визначають необхiднiсть упровадження заходiв захисту iнформацiї;
спецiальних перевiрок об'єктiв "особливої норми", у ходi яких перевiряється наявнiсть технiчних каналiв поширення iнформацiї, якi створюються за рахунок застосування закладних пристроїв;
спецiальних дослiджень технiчних засобiв, призначених для встановлення на об'єктах "особливої норми", у ходi яких перевiряється вiдповiднiсть захищеностi технiчних засобiв нормам ефективностi захисту iнформацiї вiд поширення (просочення) технiчними каналами.
8.3. Спецiальнi обстеження, спецiальнi перевiрки об'єктiв "особливої норми" та спецiальнi дослiдження технiчних засобiв, призначених для встановлення на об'єктах "особливої норми", можуть бути плановими та позаплановими.
8.4. Плановi спецiальнi обстеження, спецiальнi перевiрки об'єктiв "особливої норми", спецiальнi дослiдження технiчних засобiв, призначених для встановлення на об'єктах "особливої норми", проводяться згiдно з вiдповiдним планом, який погоджується з Управлiнням державної охорони України та затверджується Головою Держспецзв'язку.
8.5. Позаплановi спецiальнi обстеження, спецiальнi перевiрки об'єктiв "особливої норми", спецiальнi дослiдження технiчних засобiв, призначених для встановлення на об'єктах "особливої норми", проводяться за запитами Управлiння державної охорони України або органiв державної влади, у пiдпорядкуваннi яких цi об'єкти перебувають.
8.6. За результатами спецiальних обстежень та спецiальних перевiрок об'єктiв "особливої норми" посадовими особами Держспецзв'язку, якi їх здiйснювали, складаються вiдповiднi акти в довiльнiй формi.
В актах спецiальних обстежень об'єктiв зазначаються виявленi недолiки в органiзацiї технiчного захисту iнформацiї на об'єктi, наявнi канали поширення (просочення) iнформацiї, визначається вiдповiднiсть стану технiчного захисту iнформацiї вимогам нормативно-правових актiв з ТЗI та надаються рекомендацiї щодо усунення виявлених недолiкiв.
В актах спецiальних перевiрок зазначаються вiдомостi про наявнiсть технiчних каналiв поширення iнформацiї, якi створюються за рахунок застосування закладних пристроїв, недолiки органiзацiї ТЗI, якi створюють передумови до впровадження на об'єктi закладних пристроїв, та надаються рекомендацiї щодо упередження можливого впровадження на об'єктi закладних пристроїв.
8.7. За результатами спецiальних дослiджень технiчних засобiв, призначених для встановлення на об'єктах "особливої норми", посадовими особами Держспецзв'язку, якi їх здiйснювали, оформлюються висновки.
У висновках спецiальних дослiджень визначаються можливiсть, умови та порядок використання технiчних засобiв на об'єктi.
8.8. Акти спецiальних обстежень, акти спецiальних перевiрок та висновки спецiальних дослiджень оформлюються у двох примiрниках. Один примiрник залишається у Держспецзв'язку, а другий - згiдно iз запитом надсилається на адресу Управлiння державної охорони або державного органу, у пiдпорядкуваннi якого перебуває об'єкт "особливої норми".
У разi отримання запиту на проведення спецiальних обстежень, спецiальних перевiрок об'єктiв "особливої норми", спецiальних дослiджень технiчних засобiв, призначених для встановлення на об'єктах "особливої норми", вiд Управлiння державної охорони України надсилати акти спецiальних обстежень, акти спецiальних перевiрок та висновки спецiальних дослiджень на адресу третьої сторони, у тому числi на адресу державного органу, у пiдпорядкуваннi якого перебуває об'єкт "особливої норми", забороняється.
При отриманнi запиту на проведення спецiальних обстежень, спецiальних перевiрок об'єктiв "особливої норми", спецiальних дослiджень технiчних засобiв, призначених для встановлення на об'єктах "особливої норми", вiд державного органу, у пiдпорядкуваннi якого перебуває об'єкт "особливої норми", акти спецiальних обстежень, акти спецiальних перевiрок та висновки спецiальних дослiджень за окремим запитом можуть бути надiсланi на адресу Управлiння державної охорони України.
8.9. Протоколи вимiрювань, якi проводилися у ходi спецiальних обстежень, спецiальних перевiрок об'єктiв "особливої норми", спецiальних дослiджень технiчних засобiв, призначених для встановлення на об'єктах "особливої норми", оформлюються в єдиному примiрнику та залишаються у пiдроздiлi Держспецзв'язку, який їх здiйснював. Ознайомлення з протоколами вимiрювань iнших сторiн забороняється.
| Начальник Департаменту державного контролю за станом криптографiчного та технiчного захисту iнформацiї Адмiнiстрацiї Держспецзв'язку | В. Є. Прасолов |
| Додаток 1 до пункту 2.9 Положення про державний контроль за станом технiчного захисту iнформацiї |
ПРИПИС
на право проведення перевiрки
| Посадовим особам Державної служби спецiального зв'язку та захисту iнформацiї України |
 |
| (прiзвища, iм'я та по батьковi) |
| |
| приписується провести | |
перевiрку стану |
| (комплексну, контрольну, цiльову) |
| технiчного захисту державних iнформацiйних ресурсiв та iнформацiї, вимога щодо захисту якої встановлена законом, у |
| |
| |
| (найменування державного органу, вiйськового формування, |
| |
| установи, пiдприємства, органiзацiї, що перевiряється) |
| Посадовi особи | |
| (прiзвища, iм'я та по батьковi) | |
| |
|
| мають допуск до державної таємницi за
формою _______ Припис дiйсний до "___" ____________ 20__ року. |
|
| М. П. |
| |
| (посадова особа Держспецзв'язку, прiзвище, iнiцiали, пiдпис) |
| Начальник Департаменту державного контролю за станом криптографiчного та технiчного захисту iнформацiї Адмiнiстрацiї Держспецзв'язку |
В. Є. Прасолов |
| (додаток 1 iз змiнами, внесеними згiдно з наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 28.07.2014р. N 360) |
| Додаток 2 до пункту 4.4 Положення про державний контроль за станом технiчного захисту iнформацiї |
|
| ЗАТВЕРДЖУЮ | |
| |
|
| |
|
| "___" ____________ 20__ р. |
АКТ
комплексної перевiрки стану технiчного захисту
iнформацiї
| у | |
| (найменування державного органу, вiйськового формування, установи, пiдприємства, органiзацiї, що перевiряється) |
| "___" ____________ 20__ р. | м. __________ |
| Посадовими особами Державної служби спецiального зв'язку та захисту iнформацiї України у складi |
| |
| (прiзвища, iм'я та по батьковi) |
| |
| на пiдставi припису вiд "___" ____________ 20__ р. N ______ проведено комплексну перевiрку стану технiчного захисту iнформацiї у |
| |
| (найменування державного органу, вiйськового формування, |
| |
| установи, пiдприємства або органiзацiї, що перевiряється, їх пiдпорядкованiсть) |
| Перевiркою встановлено: 1. Загальнi питання |
| |
| |
| 2. Заходи з технiчного захисту мовної iнформацiї |
| |
| |
| 3. Заходи з технiчного захисту iнформацiї, яка обробляється в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах, засобах розмноження документiв та iнших технiчних засобах, якi використовуються для обробки iнформацiї |
| |
| |
| 4. Заходи з технiчного захисту iнформацiї з обмеженим доступом при створеннi продукцiї та технологiй для державних потреб i виконаннi НДДКР |
| |
| |
| 5. Заходи з технiчного захисту iнформацiї з обмеженим доступом пiд час органiзацiї проектування будiвництва, реконструкцiї та капiтального ремонту ОIД |
| |
| |
| 6. Заходи з технiчного захисту iнформацiї з обмеженим доступом пiд час прийому iноземних делегацiй, iноземцiв, осiб без громадянства та здiйснення дiяльностi iноземних iнспекцiйних мiсiй на територiї України |
| |
| |
| Висновок | |
| |
|
| |
|
| Рекомендацiї | |
| 1. | |
| 2. | |
| 3. | |
| Перевiрку здiйснили: | |
| пiдпис (прiзвище, iнiцiали) | |
| |
|
| пiдпис (прiзвище, iнiцiали) | |
| |
|
| пiдпис (прiзвище, iнiцiали) |
| З актом ознайомлений: керiвник або уповноважений представник державного органу, вiйськового формування, установи, пiдприємства, органiзацiї, що перевiрялася, |
| |
| пiдпис (прiзвище, iнiцiали) |
| Начальник Департаменту державного контролю за станом криптографiчного та технiчного захисту iнформацiї Адмiнiстрацiї Держспецзв'язку |
В. Є. Прасолов |
