Відповідно до Законів України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229, з метою посилення контролю за станом технічного захисту інформації в органах і підрозділах Національної поліції України НАКАЗУЮ:

1. Затвердити Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України, що додається.

2. Департаменту формування політики щодо підконтрольних Міністрові органів влади та моніторингу МВС (Боднар В.Є.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Контроль за виконанням цього наказу покласти на Голову Національної поліції України Х. Деканоідзе.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Це Положення визначає порядок організації та здійснення Національною поліцією України контролю за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом (далі — контроль за станом технічного захисту інформації), у структурних підрозділах центрального органу управління поліції, територіальних (у тому числі міжрегіональних) органах поліції та їх територіальних (відокремлених) підрозділах, а також в установах, закладах та організаціях, що належать до сфери управління Національної поліції України (далі — суб’єкти перевірки).

2. Контроль за станом технічного захисту інформації в суб’єктах перевірки здійснюється Департаментом режиму та технічного захисту інформації Національної поліції України (далі — ДРТЗІ).

3. У цьому Положенні терміни вживаються в такому значенні:

висновок перевірки — результат оцінки стану захисту інформації, повноти та достатності заходів щодо захисту інформації та їх відповідності вимогам нормативно-правових актів і нормативних документів у сфері технічного захисту інформації (далі — ТЗІ);

внутрішній контроль за станом технічного захисту інформації — заходи з контролю, що проводяться територіальними (у тому числі міжрегіональними) органами поліції в підпорядкованих підрозділах з метою отримання інформації про стан ТЗІ;

контрольована зона — територія (простір) навколо об’єкта інформаційної діяльності, на якій (у межах якої) виключено несанкціоноване розташування технічних і транспортних засобів та неконтрольоване перебування сторонніх осіб;

контрольно-інспекторська робота з питань ТЗІ — діяльність щодо визначення та вдосконалення стану ТЗІ суб’єктів перевірки;

об’єкт інформаційної діяльності (далі — ОІД) — інженерно-технічна споруда (будівля, приміщення тощо), відокремлена територія (зона), транспортний засіб, намет, де провадиться діяльність, пов’язана з державними інформаційними ресурсами та інформацією, вимога щодо захисту якої встановлена законом;

передумови до реалізації загрози для інформації — обставини (недостатність упроваджених заходів із захисту інформації, людський фактор), унаслідок яких можливе виникнення загроз для інформації, вимога щодо захисту якої встановлена законом, стосовно порушення її конфіденційності, цілісності й доступності;

перешкоджання проведенню перевірки — відмова керівника або уповноважених представників суб’єкта перевірки у провадженні діяльності посадовими особами, які проводять перевірку, у наданні доступу до об’єкта (об’єктів) перевірки, повної та достовірної інформації, документів щодо предмета перевірки, а також невиконання інших обов’язків, визначених цим Положенням;

порушення у сфері ТЗІ — невиконання вимог нормативно-правових актів і нормативних документів у сфері ТЗІ за категоріями, які визначають імовірну можливість та/або факт реалізації загроз для інформації;

реальна загроза для інформації — недостатність упроваджених заходів із захисту інформації, унаслідок чого створено загрози для інформації, вимога щодо захисту якої встановлена законом, стосовно порушення її конфіденційності, цілісності й доступності;

технічний канал витоку інформації — взаємопов’язана сукупність джерела небезпечного сигналу, середовища його поширення та засобу технічної розвідки, спрямована на несанкціоноване зняття (перехоплення) інформації.

Інші терміни в цьому Положенні вживаються у значеннях, наведених у Законах України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", "Про інформацію", "Про Державну службу спеціального зв’язку та захисту інформації України"";

4. Контроль за станом ТЗІ полягає в перевірці виконання вимог нормативно-правових актів і нормативних документів у сфері ТЗІ та здійснюється з метою визначення стану ТЗІ в суб’єктах перевірки, виявлення порушень з ТЗІ та запобігання ним.

5. Контроль за станом ТЗІ здійснюється ДРТЗІ шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ стосовно суб’єктів перевірки.

6. Внутрішній контроль за станом ТЗІ в суб’єктах перевірки виконується відповідними підрозділами, на які письмовим наказом керівника територіального (у тому числі міжрегіонального) органу поліції покладено забезпечення ТЗІ в цих органах (далі — підрозділи ТЗІ), на підставі організаційно-розпорядчих документів, розроблених суб’єктами перевірки та погоджених із ДРТЗІ.

7. Відповідальними особами за організацію внутрішнього контролю за станом ТЗІ в територіальних (у тому числі міжрегіональних) органах поліції є їх керівники.

8. Контрольно-інспекторська робота з питань ТЗІ включає планування та проведення перевірок стану ТЗІ (далі - перевірки) в суб’єктах перевірки, аналіз їх результатів та надання рекомендацій щодо вдосконалення заходів з ТЗІ.

9. За результатами контрольно-інспекторської роботи проводиться аналіз та узагальнення стану ТЗІ в суб’єктах перевірки.

Аналітичні матеріали щодо стану ТЗІ в суб’єктах перевірки доповідаються Голові Національної поліції України або його заступникові відповідно до розподілу функціональних обов’язків.

1. Перевірки стану ТЗІ діляться на комплексні, цільові (тематичні) та контрольні. Зазначені перевірки можуть бути плановими та позаплановими.

2. У ході комплексної перевірки визначається відповідність упроваджених заходів із ТЗІ в інформаційно-комунікаційних системах (далі — ІКС), а також на ОІД, де передбачено обробку мовної інформації, що становить державну таємницю, вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ.

3. Під час цільової (тематичної) перевірки перевіряються окремі питання щодо впроваджених заходів із ТЗІ в окремих ІКС та/або на ОІД на відповідність вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ.

4. При контрольній перевірці перевіряються повнота та достатність проведених заходів щодо усунення недоліків, які були виявлені в ході проведення попередньої комплексної або цільової перевірки. Контрольні перевірки проводяться після отримання письмового повідомлення про усунення недоліків.

5. Планові перевірки здійснюються згідно з планом основних організаційних і практичних заходів ДРТЗІ.

6. Позапланові перевірки проводяться в разі наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ або в разі виникнення потреби у визначенні повноти та достатності заходів з ТЗІ, ужитих суб’єктами перевірки. Зазначені перевірки можуть проводитися з попередженням або без попередження керівників суб’єктів перевірки.

7. Керівництву суб’єктів перевірки повідомляється про проведення перевірки не пізніше ніж за десять діб до її початку (за винятком проведення позапланової перевірки).

8. Перевірки стану ТЗІ здійснюються посадовими особами ДРТЗІ, на яке покладено виконання завдань щодо здійснення контролю за станом ТЗІ.

9. Підставою для допуску посадових осіб ДРТЗІ до перевірки та надання документів, необхідних для її проведення (у тому числі з обмеженим доступом), є наявність припису на проведення перевірки, форму якого визначено у додатку до цього Положення, за підписом Голови Національної поліції України або особи, яка виконує його обов’язки, та інших документів з дотриманням вимог законодавства про державну таємницю.

10. Перевірки щодо інформації, що становить державну таємницю, можуть проводитися в ході здійснення контролю за забезпеченням охорони державної таємниці в суб’єктах перевірки згідно з вимогами Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженого постановою Кабінету Міністрів України від 18 грудня 2013 року № 939.

У цьому разі контроль за станом ТЗІ здійснюється комісією ДРТЗІ з перевірки стану охорони державної таємниці.

Під час такої перевірки перевіряються питання щодо впроваджених заходів із ТЗІ в ІКС та/або на ОІД, де передбачено обробку інформації, що становить державну таємницю, на відповідність вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ.

1. Посадові особи ДРТЗІ, які здійснюють перевірку стану ТЗІ, мають право на:

1) доступ (з дотриманням вимог нормативно-правових актів щодо охорони державної таємниці в Україні) до ОІД суб’єктів перевірки для здійснення контролю за станом ТЗІ, а також до інших приміщень (на територію, у споруди, будівлі, кабінети) для вивчення питань, безпосередньо пов’язаних із перевіркою;

2) доступ до ІКС (крім інформаційних ресурсів ІКС, що мають атестовані системи захисту інформації) з метою отримання інформації, яка необхідна для з’ясування стану захищеності ІКС;

3) ознайомлення з будь-якими документами, необхідними для перевірки;

4) отримання копій необхідних документів, письмових пояснень (довідок, рапортів) посадових осіб з питань, що виникають під час проведення перевірки;

5) висування за результатами перевірок вимог щодо приведення стану ТЗІ у відповідність до законодавства та здійснення контролю за їх виконанням;

6) порушення перед керівниками суб’єктів перевірки питання щодо проведення службового розслідування в разі невиконання вимог нормативно-правових актів і нормативних документів у сфері технічного захисту інформації, вимога щодо захисту якої встановлена законом.

2. Посадові особи ДРТЗІ в разі виявлення порушень норм і вимог з ТЗІ першої або другої категорії на об’єктах інформаційної діяльності та в ІКС мають право порушувати питання щодо призупинення або скасування дії відповідних актів атестації комплексів ТЗІ, декларацій та атестатів відповідності комплексної системи захисту інформації в автоматизованих системах, про що повідомляється Адміністрації Держспецзв’язку.

У разі виявлення порушень норм і вимог із ТЗІ першої або другої категорії керівник суб’єкта перевірки негайно видає письмовий наказ про припинення обробки інформації, вимога щодо захисту якої встановлена законом, або державних інформаційних ресурсів на об’єктах інформаційної діяльності та/або в ІКС, де були виявлені зазначені порушення.

Дозвіл на відновлення обробки інформації на об’єктах інформаційної діяльності та/або ІКС, де були виявлені порушення норм і вимог з ТЗІ першої або другої категорії, дає керівник суб’єкта перевірки за погодженням з ДРТЗІ після усунення порушень, про що повідомляється Адміністрації Держспецзв’язку.