На виконання вимог Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 р. N 1229/99,

1. Затвердити Положення про контроль за функціонуванням системи технічного захисту інформації, що додається.

2. Інспекції з питань захисту інформації Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України - забезпечити подання на державну реєстрацію до Міністерства юстиції України наказу "Про затвердження Положення про контроль за функціонуванням системи технічного захисту інформації".

3. Контроль за виконанням цього наказу покласти на Першого заступника керівника Департаменту - начальника Інспекції з питань захисту інформації Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.

1. Положення про контроль за функціонуванням системи технічного захисту інформації (далі - Положення) визначає правові та організаційні засади контролю за функціонуванням системи технічного захисту інформації, який здійснюється згідно з Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27 вересня 1999 р. N 1229/99.

Положення поширюється на всі суб'єкти системи технічного захисту інформації.

2. Ужиті в цьому Положенні терміни мають таке значення:

технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації;

система ТЗІ - сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами, нормативно-правова та їхня матеріально-технічна база;

суб'єкти системи ТЗІ:

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України;

органи державної влади, органи місцевого самоврядування, органи управління Збройних Сил України та інших військових формувань, утворених згідно із законодавством, відповідні підприємства, установи та організації (далі - органи, щодо яких здійснюється ТЗІ);

державні наукові, науково-дослідні та науково-виробничі підприємства, установи та організації, що належать до системи Служби безпеки України і виконують завдання ТЗІ;

військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з ТЗІ за відповідними дозволами або ліцензіями;

навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з ТЗІ;

контрольована зона - територія, на якій унеможливлюється несанкціоноване перебування сторонніх осіб;

модель загроз - формалізований опис методів та засобів здійснення загроз для інформації;

інформаційна система - автоматизована система, комп'ютерна мережа або система зв'язку;

виділені приміщення - приміщення, в яких циркулює інформація з обмеженим доступом;

контрольно-інспекційна робота з питань ТЗІ - діяльність, спрямована на визначення та вдосконалення стану ТЗІ органів, щодо яких здійснюється ТЗІ, та на проведення контролю за виконанням суб'єктами системи ТЗІ завдань або проведенням діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями;

атестація виділених приміщень - комплекс спрямованих на реалізацію заходів з ТЗІ робіт, метою яких є приведення виділених приміщень у відповідність до вимог нормативних документів з ТЗІ та визначення відповідності захищеності виділеного приміщення встановленій категорії;

порушення з ТЗІ - невиконання вимог нормативно-правових актів з питань ТЗІ, яке створює умови або реальну можливість порушення конфіденційності, цілісності або доступності інформації.

3. Контроль за функціонуванням системи ТЗІ здійснюється з метою визначення й удосконалення стану ТЗІ в органах, щодо яких здійснюється ТЗІ, виявлення та запобігання порушенням з ТЗІ в інформаційних системах та об'єктах.

4. Контроль за функціонуванням системи ТЗІ в державі здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - ДСТСЗІ СБ України) шляхом організації та проведення контрольно-інспекційної роботи з питань ТЗІ стосовно суб'єктів системи ТЗІ.

5. Контрольно-інспекційна робота з питань ТЗІ включає планування та проведення перевірок з ТЗІ (далі - перевірок) стану ТЗІ в органах, щодо яких здійснюється ТЗІ, проведення аналізу та надання рекомендацій щодо вдосконалення заходів з ТЗІ в зазначених органах та перевірок з ТЗІ інших суб'єктів системи ТЗІ щодо виконання ними завдань або провадження діяльності в цій галузі за відповідними дозволами та ліцензіями.

6. Перевірки поділяються на комплексні, цільові (тематичні) та контрольні.

При комплексній перевірці вивчається та оцінюється стан ТЗІ в органах, щодо яких здійснюється ТЗІ.

При цільовій (тематичній) перевірці вивчаються окремі напрямки ТЗІ, перевіряється виконання рішень (розпоряджень, наказів, вказівок) органів державної влади з питань ТЗІ в органах, щодо яких здійснюється ТЗІ, виконання завдань або провадження діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями суб'єктами системи ТЗІ.

При контрольній перевірці перевіряється усунення недоліків, які були виявлені під час проведення попередньої комплексної або цільової перевірки (контрольні перевірки проводяться за потреби, як правило, не раніше ніж через рік після попередньої перевірки).

Зазначені перевірки можуть бути планові та позапланові, з попередженням та раптові.

7. Позапланова перевірка здійснюється за вказівкою керівництва ДСТСЗІ СБ України в разі виникнення потреби визначення повноти та достатності заходів з ТЗІ в органі, щодо якого здійснюється ТЗІ, стану виконання завдань або провадження діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями іншими суб'єктами системи ТЗІ, за наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ.

8. Перевірки здійснюються комісіями підрозділу ДСТСЗІ СБ України, на який покладено виконання завдань щодо здійснення контролю за функціонуванням системи ТЗІ.

9. Керівництво суб'єкта системи ТЗІ, щодо якого здійснюється перевірка, повідомляється про проведення перевірки за десять діб до її початку (за винятком проведення раптової перевірки).

10. Підставою для допуску членів комісії до перевірки є наявність відповідних документів (приписів) за підписом керівництва ДСТСЗІ СБ України.

У тексті зазначених документів вказуються підстави проведення перевірки, кількість членів комісії та ступінь таємності інформації, до якої вони допускаються для ознайомлення.

11. При проведенні перевірки стану ТЗІ контролю підлягають організаційні, організаційно-технічні, технічні заходи з ТЗІ у виділених приміщеннях, інформаційних системах і об'єктах, повнота та достатність робіт з атестації виділених приміщень.

12. Контроль організаційних заходів з ТЗІ в органі, щодо якого здійснюється ТЗІ, включає перевірку:

- переліку відомостей, що підлягають технічному захисту;

- окремої моделі загроз для інформаційної системи або об'єкта;

- плану контрольованої зони органу, щодо якого здійснюється ТЗІ;

- переліку виділених приміщень органу, щодо якого здійснюється ТЗІ, інформаційних систем та об'єктів;