Кабінет Міністрів України п о с т а н о вл я є:

1. Затвердити Положення про технічний захист інформації в Україні (додається).

2. Державній службі з питань технічного захисту інформації разом із заінтересованими міністерствами і відомствами забезпечити вивчення практики застосування Положення про технічний захист інформації в Україні і в разі потреби подавати Кабінетові Міністрів України пропозиції про внесення змін і доповнень до цього Положення.

1. Це Положення визначає порядок технічного захисту інформації, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі, а також конфіденційної інформації, що є власністю держави (далі - інформація з обмеженим доступом).

Дія цього Положення поширюється на центральні та місцеві органи державної виконавчої влади, органи виконавчої влади Республіки Крим, місцеві Ради народних депутатів та їх органи, на військові частини всіх військових формувань, на підприємства, установи й організації всіх форм власності, представництва України за кордоном і громадян, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом.

2. Технічний захист інформації, що не містить відомостей, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі, а також конфіденційної інформації, що не є власністю держави, здійснюється її власниками (користувачами) на добровільних засадах самостійно або на договірних засадах з іншими учасниками інформаційних відносин.

При цьому вимоги даного Положення, інших актів законодавства з питань технічного захисту інформації з обмеженим доступом, організаційних, розпорядчих і нормативних документів Державної служби з питань технічного захисту інформації мають рекомендаційний характер.

3. Технічний захист інформації з обмеженим доступом є однією із складових частин управлінської, наукової і виробничої діяльності, спрямованої на забезпечення безпеки інформації, та являє собою сукупність організаційних і технічних заходів, що базуються на принципах доцільності, безперервності і комплексності, погоджених за часом і місцем застосування.

Державна політика в галузі технічного захисту інформації з обмеженим доступом реалізується Державною службою з питань технічного захисту інформації у взаємодії з Міноборони, Службою безпеки, Держкомсекретів, іншими центральними та місцевими органами державної виконавчої влади, органами виконавчої влади Республіки Крим, виконавчими комітетами Рад.

Мета технічного захисту інформації з обмеженим доступом - своєчасне виявлення загроз та запобігання порушенню цілісності інформації з обмеженим доступом і витоку її технічними каналами.

4. Загроза порушення цілісності інформації з обмеженим доступом і витоку її технічними каналами (далі - загроза) може бути реалізована технічними розвідками, юридичними особами та громадянами за допомогою технічних засобів (далі - технічні розвідки). Відомості про методи порушення цілісності інформації з обмеженим доступом і витоку її технічними каналами, засоби і можливості технічних розвідок викладаються у відповідних моделях технічних розвідок та загроз.

5. Це Положення не поширюється на системи та засоби, які базуються на криптографічних методах захисту інформації з обмеженим доступом.

6. Систему технічного захисту інформації з обмеженим доступом становлять:

Державна служба з питань технічного захисту інформації;

структурні підрозділи технічного захисту інформації центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад;

головні за напрямами технічного захисту інформації підприємства, установи й організації;

базові за напрямами технічного захисту інформації підприємства, установи й організації міністерств і відомств;

підприємства, установи й організації, які виконують роботи та надають послуги в галузі технічного захисту інформації;

структурні підрозділи технічного захисту інформації підприємств, установ і організацій;

навчальні заклади підготовки, перепідготовки та підвищення кваліфікації спеціалістів з питань технічного захисту інформації.

7. Центральним органом державної виконавчої влади в галузі технічного захисту інформації є Державна служба з питань технічного захисту інформації.

Рішення Державної служби з питань технічного захисту інформації, прийняті в межах її компетенції, є обов'язковими для виконання центральними та місцевими органами державної виконавчої влади, органами виконавчої влади Республіки Крим, місцевими Радами народних депутатів та їх органами, військовими частинами всіх військових формувань, підприємствами, установами й організаціями всіх форм власності, представництвами України за кордоном, посадовими особами і громадянами, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом.

8. Основними завданнями Державної служби з питань технічного захисту інформації є:

1) організація, методичне керівництво та забезпечення функціонування системи технічного захисту інформації;

2) здійснення контролю за виконанням центральними і місцевими органами державної виконавчої влади, органами виконавчої влади Республіки Крим, виконавчими комітетами Рад, військовими частинами всіх військових формувань, підприємствами, установами й організаціями всіх форм власності, представництвами України за кордоном, посадовими особами і громадянами, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом, вимог цього Положення, інших актів законодавства, організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації;

3) підготовка пропозицій про вдосконалення чинного законодавства, організаційних і технічних заходів щодо запобігання порушенню цілісності інформації з обмеженим доступом і витоку її технічними каналами;

4) визначення технічно й економічно обгрунтованих напрямів розвитку засобів і способів технічного захисту інформації з обмеженим доступом, координація наукових досліджень у цій галузі;

5) виконання функцій замовника щодо проведення науково-дослідних і дослідно-конструкторських робіт з проблем технічного захисту інформації з обмеженим доступом; координація робіт із створення технічних засобів цього захисту, засобів формування, пересилання, приймання, перетворення, відображення та зберігання інформації, захищених від порушення цілісності та витоку технічними каналами (далі - захищені засоби), і контрольно-вимірювальної апаратури;

6) розроблення концепцій та національних програм з питань технічного захисту інформації з обмеженим доступом, забезпечення їх реалізації у політичній, економічній, військовій, науково-технічній, соціальній та інших сферах;

7) підготовка пропозицій про визначення головних за напрямами технічного захисту інформації підприємств, установ і організацій;

8) формування та супроводження моделей технічних розвідок і загроз у взаємодії з Міноборони, Службою безпеки, Держкомсекретів та іншими центральними і місцевими органами державної виконавчої влади, органами виконавчої влади Республіки Крим, виконавчими комітетами Рад;

9) організація і здійснення технічного контролю за розробленням та реалізацією заходів технічного захисту інформації з обмеженим доступом;

10) організація інфраструктури інформаційного забезпечення системи технічного захисту інформації;

11) організація разом з центральними та місцевими органами державної виконавчої влади, органами виконавчої влади Республіки Крим, виконавчими комітетами Рад діяльності щодо підготовки, перепідготовки та підвищення кваліфікації спеціалістів з технічного захисту інформації;

12) ліцензування діяльності в галузі технічного захисту інформації з обмеженим доступом, організація і методологічне забезпечення сертифікації засобів захисту, захищених засобів і контрольно-вимірювальної апаратури;

13) координація робіт з технічного захисту інформації з обмеженим доступом в центральних і місцевих органах державної виконавчої влади, органах виконавчої влади Республіки Крим, виконавчих комітетах Рад, військових частинах всіх військових формувань, на підприємствах, в установах і організаціях всіх форм власності, представництвах України за кордоном;

14) видання організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом.

9. Організацію і виконання робіт з технічного захисту інформації з обмеженим доступом та контроль за їх проведенням здійснюють у межах своєї компетенції Державна служба з питань технічного захисту інформації, центральні та місцеві органи державної виконавчої влади, органи виконавчої влади Республіки Крим, виконавчі комітети Рад, військові частини всіх військових формувань, підприємства, установи й організації всіх форм власності, представництва України за кордоном, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом, відповідно до затверджуваних ними планів.

10. Основними завданнями центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад з питань технічного захисту інформації з обмеженим доступом є:

1) визначення відомостей, що містять інформацію з обмеженим доступом, з урахуванням шкоди, яка може бути завдана порушенням цілісності інформації та її витоком технічними каналами;

2) розроблення і здійснення згідно з чинним законодавством, організаційними, розпорядчими і нормативними документами, виданими Державною службою з питань технічного захисту інформації, відповідних технічно та економічно обгрунтованих заходів;

3) організація науково-дослідних і дослідно-конструкторських робіт із створення засобів захисту, захищених засобів і контрольно-вимірювальної апаратури;

4) включення спеціальних вимог технічного захисту інформації з обмеженим доступом до технічних завдань на створення зразків продукції та технологій для державних потреб, а також до завдань на проектування і будівництво військових, військово-промислових та інших об'єктів, у тому числі призначених для проведення досліджень, розроблення, виробництва та випробувань озброєння і військової техніки, пріоритетних технологій, інформаційних систем, систем зв'язку й управління;

5) видання відомчих документів з питань технічного захисту інформації з обмеженим доступом на основі актів законодавства, організаційних, розпорядчих і нормативних документів, виданих Державною службою з питань технічного захисту інформації;

6) контроль за виконанням чинного законодавства, організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом та здійсненням заходів для її технічного захисту підвідомчими підприємствами, установами й організаціями;

7) визначення за погодженням з Державною службою з питань технічного захисту інформації головних за напрямами технічного захисту інформації підприємств, установ і організацій;

8) створення в установленому порядку базових за напрямами технічного захисту інформації підприємств, установ і організацій (за погодженням з Державною службою з питань технічного захисту інформації).

11. Основними завданнями структурних підрозділів технічного захисту інформації центральних та місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад є:

1) розроблення організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом та забезпечення доведення їх до підвідомчих цим органам підприємств, установ і організацій;

2) проведення заходів технічного захисту інформації з обмеженим доступом у взаємодії з іншими підрозділами, які забезпечують безпеку інформації;

3) організація та координація робіт з технічного захисту інформації з обмеженим доступом на підвідомчих цим органам підприємствах, в установах і організаціях;

4) організація контролю за виконанням структурними підрозділами відповідно центральних та місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, підприємствами, установами й організаціями вимог цього Положення, інших актів законодавства, організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом, а також забезпечення оперативного усунення виявлених порушень і недоліків;

5) організація одержання інформації про діяльність основних структурних підрозділів відповідно центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад стосовно технічного захисту інформації з обмеженим доступом, аналізу достатності й ефективності вжитих заходів для її захисту та технічної оснащеності підвідомчих підприємств, установ і організацій; подання відомостей про стан технічного захисту інформації з обмеженим доступом Державній службі з питань технічного захисту інформації за її запитами;

6) організація підготовки, перепідготовки та підвищення кваліфікації спеціалістів з технічного захисту інформації.

12. Основними завданнями:

1) головних за напрямами технічного захисту інформації підприємств, установ і організацій є:

розроблення проектів організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом;

виконання науково-дослідних і дослідно-конструкторських робіт із створення методів та засобів технічного захисту інформації, захищених засобів і контрольно-вимірювальної апаратури;

розроблення пропозицій до програм розвитку технічного захисту інформації з обмеженим доступом;

2) базових за напрямами технічного захисту інформації підприємств, установ і організацій є:

організація та координація робіт з технічного захисту інформації з обмеженим доступом на відповідних підприємствах, в установах і організаціях;

здійснення контролю за ефективністю заходів технічного захисту інформації з обмеженим доступом на відповідних підприємствах, в установах і організаціях;

надання на договірних засадах послуг з технічного захисту інформації з обмеженим доступом підприємствам, установам, організаціям і громадянам.

13. Основними завданнями структурних підрозділів технічного захисту інформації підприємств, установ і організацій є:

1) формування переліків окремих загроз, каналів витоку інформації з обмеженим доступом і каналів спеціального впливу на інформацію на основі аналізу моделей технічних розвідок та загроз;

2) забезпечення виконання вимог цього Положення, інших актів законодавства з питань технічного захисту інформації з обмеженим доступом, організаційних, розпорядчих і нормативних документів Державної служби з питань технічного захисту інформації, центральних та місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад;

3) розроблення і впровадження заходів технічного захисту інформації з обмеженим доступом та контролю за їх ефективністю;

4) аналіз ефективності застосування технічних засобів захисту інформації з обмеженим доступом, захищених засобів і контрольно-вимірювальної апаратури;

5) підготовка пропозицій про вдосконалення організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом;

6) організація взаємодії із структурними підрозділами, що забезпечують безпеку інформації, на підприємствах, в установах і організаціях.

14. Відповідальність за технічний захист інформації з обмеженим доступом згідно з чинним законодавством несуть керівники центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, командири військових частин всіх військових формувань, керівники підприємств, установ і організацій, представництв України за кордоном і громадяни, які володіють, користуються та розпоряджаються такою інформацією.

15. Структурні підрозділи технічного захисту інформації центральних та місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, підприємств, установ і організацій підпорядковуються безпосередньо їхнім керівникам.

Відомості про призначення осіб, які очолюють зазначені підрозділи центральних та місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, надсилаються Державній службі з питань технічного захисту інформації.

16. Виробництво та сервісне обслуговування систем і засобів, виконання робіт та надання послуг, що забезпечують технічний захист інформації з обмеженим доступом, можуть здійснювати підприємства, установи, організації та громадяни, які одержали в установленому порядку відповідні ліцензії.

17. Безпосереднє керівництво роботами з технічного захисту інформації з обмеженим доступом в центральних і місцевих органах державної виконавчої влади, органах виконавчої влади Республіки Крим, виконавчих комітетах Рад здійснюється одним із заступників керівника, а на підприємствах, в установах і організаціях - їхніми керівниками.

18. Підготовка рішень з найважливіших питань технічного захисту інформації з обмеженим доступом в центральних та місцевих органах державної виконавчої влади, на підприємствах, в установах і організаціях покладається на науково-технічні ради або інші компетентні колегіальні органи.

19. Найважливіші питання проведення державної політики в галузі технічного захисту інформації з обмеженим доступом розглядає Координаційна рада при Державній службі з питань технічного захисту інформації і приймає щодо них відповідні рішення.

20. Порядок технічного захисту інформації з обмеженим доступом визначається цим Положенням, іншими актами законодавства з питань технічного захисту інформації з обмеженим доступом, організаційними, розпорядчими і нормативними документами Державної служби з питань технічного захисту інформації, центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, моделями технічних розвідок та загроз, іншими документами в цій галузі.

21. З метою забезпечення диференційованого підходу до технічного захисту інформації з обмеженим доступом об'єкти різного призначення, на яких зосереджена така інформація, поділяються на категорії в установленому порядку.

22. Для прийняття рішень про проведення заходів технічного захисту інформації з обмеженим доступом здійснюються такі підготовчі роботи:

визначення переліку конкретних таємних і конфіденційних відомостей, що підлягають технічному захисту;

обгрунтування необхідності розроблення та реалізації зазначених заходів з урахуванням матеріальної та іншої шкоди, що може бути завдана внаслідок можливого порушення цілісності інформації з обмеженим доступом або її витоку технічними каналами;

уточнення межі контрольованої території на основі аналізу моделей технічних розвідок і загроз та місцезнаходження військових частин усіх військових формувань, підприємств, установ і організацій, представництв України за кордоном, виявлення технічних каналів витоку інформації з обмеженим доступом та впливу на неї;

визначення способів технічного захисту інформації з обмеженим доступом, шляхів і засобів їх реалізації, оцінка ефективності заходів технічного захисту інформації з обмеженим доступом, які передбачаються.

23. Результати підготовчих робіт оформляються актом установленої форми, який є підставою для проведення заходів технічного захисту інформації з обмеженим доступом.

За результатами виконання зазначених в акті підготовчих робіт оформляється (в порядку, що визначається Державною службою з питань технічного захисту інформації) атестат, який посвідчує готовність забезпечення технічного захисту інформації з обмеженим доступом.

24. Технічному захисту підлягає інформація з обмеженим доступом, матеріалізована в носіях інформації.

Носіями інформації з обмеженим доступом можуть бути фізичні об'єкти, поля і сигнали, хімічні середовища, нагромаджувачі даних в інформаційних системах.

25. Неправомірне одержання інформації з обмеженим доступом може здійснюватися технічними засобами космічної, повітряної, морської і наземної розвідок або шляхом порушення правил розмежування доступу до інформації з обмеженим доступом в автоматизованих системах, засобах обчислювальної техніки, лініях зв'язку - шляхом несанкціонованого доступу до неї.

Порушення цілісності (руйнування, спотворення, модифікація і знищення) та витік інформації з обмеженим доступом, що обробляється або зберігається в засобах обчислювальної техніки, можуть здійснюватися шляхом включення до бібліотек програм спеціальних програмних блоків, зміни програмного забезпечення та іншими засобами.

26. Носії інформації з обмеженим доступом, середовища поширення полів і технічні засоби розвідок разом становлять навмисні або ненавмисні технічні канали витоку інформації з обмеженим доступом.

Навмисні канали витоку інформації з обмеженим доступом створюються відповідним формуванням (перетворенням) полів або середовищ їх поширення з метою забезпечення сприятливих умов для витоку інформації з обмеженим доступом.