Відповідно до п. 20 Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року N 1229 (зі змінами, унесеними Указом Президента України від 6 жовтня 2000 року N 1120) , та з метою забезпечення єдиного порядку одержання дозволів на проведення робіт з технічного захисту інформації для власних потреб НАКАЗУЮ:

1. Затвердити Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб (далі - Положення), що додається.

2. Заступнику начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України - начальнику Головного управління Котельчуку І.А. забезпечити подання в установленому порядку Положення на державну реєстрацію до Міністерства юстиції України.

3. Контроль за виконанням цього наказу покласти на першого заступника начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України Барлабанова В.В.

1.1. Це Положення розроблено відповідно до Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 р. N 1229 (зі змінами, унесеними Указом Президента України від 6 жовтня 2000 року N 1120) .

1.2. Положення визначає види та умови проведення робіт з технічного захисту інформації (далі - роботи з ТЗІ) для власних потреб, які виконуються за дозволами Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент), встановлює порядок надання дозволів, контроль та відповідальність під час проведення визначених видів робіт.

1.3. Вимоги Положення поширюються на органи державної влади, органи місцевого самоврядування (далі - державні органи), які мають намір проводити роботи з технічного захисту інформації для власних потреб, необхідність охорони якої визначена законодавством.

1.4. За відсутності у державного органу дозволу на проведення робіт з ТЗІ для власних потреб зазначені роботи повинні виконуватись із залученням організацій, які мають ліцензії на право провадження господарської діяльності у галузі ТЗІ.

Ужиті в цьому Положенні терміни та визначення мають таке значення:

об'єкт інформаційної діяльності державного органу - інженерно-технічна споруда, приміщення з визначеною контрольованою зоною, де здійснюється адміністративна, фінансово-економічна, науково-технічна та інша діяльність, пов'язана з інформацією, що підлягає захисту від витоку технічними каналами та спеціальних впливів;

інформаційна система - автоматизована система, комп'ютерна мережа, система зв'язку;

комплекс технічного захисту інформації - сукупність заходів та засобів, призначених для реалізації технічного захисту інформації в інформаційній системі або на об'єкті інформаційної діяльності;

дозвіл - документ, що надає право на виконання робіт з ТЗІ для власних потреб;

дослідження об'єктів інформаційної діяльності, інформаційних систем державного органу щодо безпеки інформації - вивчення та аналіз проектної, програмної документації, інформаційних потоків, у тому числі із застосуванням засобів пошукової та вимірювальної техніки, умов функціонування об'єктів інформаційної діяльності, інформаційних систем з метою визначення загрози безпеці інформації щодо її витоку, блокування чи порушення цілісності;

розроблення засобу забезпечення технічного захисту інформації або комплексу технічного захисту інформації - стадія життєвого циклу засобу забезпечення технічного захисту інформації або комплексу технічного захисту інформації, яка пов'язана із: складанням технічного завдання, ескізним, технічним (ескізно-технічним), робочим проектуванням; розробленням експлуатаційної документації, програм і методик приймальних (атестаційних) випробувань; виготовленням та випробуванням дослідних зразків, приймальними випробуваннями;

упровадження комплексу технічного захисту інформації - уведення в дію розробленого комплексу технічного захисту інформації на конкретному об'єкті інформаційної діяльності або в конкретній інформаційній системі;

дослідження ефективності комплексу технічного захисту інформації, у тому числі його атестація - оцінювання відповідності фактичного рівня захисту інформації на об'єкті інформаційної діяльності від витоку та спеціальних впливів або в інформаційній системі від несанкціонованого доступу вимогам нормативних документів з технічного захисту інформації;

обслуговування (супроводження) комплексу технічного захисту інформації на об'єкті інформаційної діяльності або в інформаційній системі - забезпечення функціонування комплексу після його впровадження згідно з експлуатаційною документацією.

3.1. Розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля.

3.2. Розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали.

3.3. Розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу.

3.4. Виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності.

4.1. Для одержання дозволу на проведення робіт з ТЗІ для власних потреб державний орган повинен мати:

призначених наказом керівника державного органу спеціалістів для проведення обраних видів робіт, які мають вищу освіту відповідного професійного спрямування або пройшли перепідготовку та підвищення кваліфікації у галузі інформаційної безпеки чи мають стаж роботи відповідного професійного спрямування не менше 3 років, а також мають оформлені у встановленому порядку допуски до державної таємниці;

нормативно-правові акти та нормативні документи з технічного захисту інформації, що необхідні для проведення обраного виду роботи;

власні або орендовані, повірені в установленому порядку засоби вимірювань і контролю та (або) засоби електронно-обчислювальної техніки в обсязі, що забезпечує проведення обраного виду роботи;

приміщення та (або) об'єкти електронно-обчислювальної техніки, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації (за потреби);

спеціальний дозвіл на провадження діяльності, пов'язаної з державною таємницею.

4.2. Під час проведення робіт відповідно до одержаного дозволу державний орган зобов'язаний:

застосовувати технічні засоби забезпечення технічного захисту інформації (технічні засоби з захистом інформації, засоби технічного захисту інформації, засоби контролю за ефективністю технічного захисту інформації), які дозволені встановленим порядком для використання та включені до відповідних переліків;

терміново інформувати Департамент про виявлення закладних пристроїв (не пізніше наступного дня після виявлення);

щорічно (до 20 грудня) надавати до Департаменту відомості щодо виконаних протягом цього року робіт з ТЗІ для власних потреб.

5.1. Для одержання дозволу державний орган подає до Департаменту заяву про видачу дозволу на проведення робіт з ТЗІ для власних потреб згідно з додатком 1.

5.2. Департамент у місячний термін після прийняття заяви перевіряє відомості, що містяться у поданих матеріалах, створені умови для проведення заявлених видів робіт та приймає рішення про видачу дозволу або відмову у його видачі. Повідомлення про відмову у видачі дозволу надсилається державному органу в письмовій формі.

5.3. Підставою для прийняття рішення про відмову у видачі дозволу за результатами перевірки є виявлення відсутності умов для проведення заявлених видів робіт, що встановлені цим Положенням.