Відповідно до Законів України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229, з метою посилення контролю за станом технічного захисту інформації в органах і підрозділах Національної поліції України НАКАЗУЮ:

1. Затвердити Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України, що додається.

2. Департаменту формування політики щодо підконтрольних Міністрові органів влади та моніторингу МВС (Боднар В.Є.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Контроль за виконанням цього наказу покласти на Голову Національної поліції України Х. Деканоідзе.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Це Положення визначає порядок організації та здійснення контролю Національною поліцією України (далі - НПУ) за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, у підрозділах центрального органу управління НПУ, територіальних (у тому числі міжрегіональних) органах в Автономній Республіці Крим, областях, містах Києві та Севастополі, районах, містах, районах у містах, а також установах забезпечення НПУ (далі - органи, щодо яких здійснюється ТЗІ).

2. Контроль за станом технічного захисту інформації (далі - ТЗІ) в органах і підрозділах НПУ здійснюється Управлінням режиму та технічного захисту інформації Національної поліції України (далі - УРТЗІ НПУ).

Контроль за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, здійснюється в органах, щодо яких здійснюється ТЗІ.

3. У цьому Положенні наведені нижче терміни вживаються в таких значеннях:

контрольно-інспекторська робота з питань ТЗІ - діяльність, спрямована на визначення та вдосконалення стану ТЗІ в органах, щодо яких здійснюється ТЗІ;

об'єкт інформаційної діяльності - інженерно-технічна споруда (приміщення), транспортний засіб, де провадиться діяльність, пов'язана з державними інформаційними ресурсами та інформацією, вимога щодо захисту якої встановлена законом;

передумови витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за відсутності підтвердженої відповідності впроваджених заходів вимогам та нормам з ТЗІ;

порушення у сфері ТЗІ - невиконання вимог нормативно-правових актів та нормативно-технічних документів системи ТЗІ за категоріями, які визначають можливість реалізації загроз безпеці інформації;

реальна загроза витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за умови підтвердження відповідними інструментально-розрахунковими методами невідповідності впроваджених заходів вимогам та нормам з ТЗІ;

технічний канал витоку інформації - сукупність джерела інформації, середовища її поширення та технічних засобів розвідки.

Інші терміни вживаються в цьому Положенні у значеннях, визначених у Законах України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України".

4. Контроль за станом ТЗІ полягає в перевірці виконання вимог нормативно-правових актів і нормативно-технічних документів з ТЗІ та здійснюється з метою визначення стану ТЗІ в органах, щодо яких здійснюється ТЗІ, виявлення порушень з ТЗІ та запобігання ним.

5. Контроль за станом ТЗІ здійснюється УРТЗІ НПУ шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ стосовно органів, щодо яких здійснюється ТЗІ.

6. Контроль заходів з ТЗІ в органах, щодо яких здійснюється ТЗІ, виконується відповідними підрозділами, на які письмовим наказом керівника територіального (у тому числі міжрегіонального) органу поліції покладено забезпечення ТЗІ в цих органах (далі - підрозділи ТЗІ).

7. Відповідальними особами за організацію та контроль заходів з ТЗІ в органах, щодо яких здійснюється ТЗІ, є їх керівники.

8. Контрольно-інспекторська робота з питань ТЗІ включає планування та проведення перевірок стану ТЗІ (далі - перевірки) в органах, щодо яких здійснюється ТЗІ, аналіз їх результатів та надання рекомендацій щодо вдосконалення заходів з ТЗІ.

9. За результатами контрольно-інспекторської роботи проводиться аналіз та узагальнення стану ТЗІ в органах, щодо яких здійснюється ТЗІ.

Аналітичні матеріали щодо стану ТЗІ в органах, щодо яких здійснюється ТЗІ, доповідаються Голові НПУ або його заступникові відповідно до розподілу функціональних обов’язків.

1. Перевірки стану ТЗІ діляться на комплексні, цільові (тематичні) та контрольні. Зазначені перевірки можуть бути плановими та позаплановими.

2. При комплексній перевірці визначається відповідність комплексу ТЗІ (комплексної системи захисту інформації) вимогам нормативно-правових актів та нормативно-технічних документів системи ТЗІ.

3. При цільовій (тематичній) перевірці перевіряються окремі складові комплексу ТЗІ (комплексної системи захисту інформації) на відповідність упроваджених заходів вимогам нормативно-правових актів та нормативно-технічних документів системи ТЗІ.

4. При контрольній перевірці перевіряються повнота та достатність проведених заходів щодо усунення недоліків, які були виявлені в ході проведення попередньої комплексної або цільової перевірки. Контрольні перевірки проводяться після отримання письмового повідомлення про усунення недоліків.

5. Планові перевірки здійснюються згідно з планом основних організаційних і практичних заходів УРТЗІ НПУ, який затверджується начальником УРТЗІ НПУ.

6. Позапланові перевірки проводяться в разі наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ або в разі виникнення потреби у визначенні повноти та достатності заходів з ТЗІ, ужитих органами, щодо яких здійснюється ТЗІ. Зазначені перевірки можуть проводитися з попередженням або без попередження керівників органів, щодо яких здійснюється ТЗІ.

7. Керівництво органів, щодо яких здійснюється ТЗІ, повідомляється про проведення перевірки не менше ніж за десять діб до її початку (за винятком проведення позапланової перевірки).

8. Перевірки стану ТЗІ здійснюються посадовими особами УРТЗІ НПУ, на яке покладено виконання завдань щодо здійснення контролю за станом ТЗІ.

9. Підставою для допуску посадових осіб УРТЗІ НПУ до перевірки та надання документів, необхідних для її проведення (у тому числі з обмеженим доступом), є наявність припису на проведення перевірки, форму якого визначено у додатку до цього Положення, за підписом Голови НПУ або його заступника відповідно до розподілу функціональних обов’язків, та інших документів з дотриманням вимог законодавства про державну таємницю.

1. Посадові особи УРТЗІ НПУ, які здійснюють перевірку стану ТЗІ, мають право на:

1) доступ на об'єкти інформаційної діяльності органів, щодо яких здійснюється ТЗІ, для здійснення контролю за станом ТЗІ, а також до інших приміщень (на територію, у споруди, будівлі, кабінети) для вивчення питань, безпосередньо пов'язаних з перевіркою;

2) ознайомлення з будь-якими документами, необхідними для перевірки;

3) отримання копій необхідних документів, письмових пояснень посадових осіб (довідок, рапортів) з питань, що виникають під час перевірки;

4) надання за результатами перевірок обов’язкових для виконання рекомендацій щодо приведення стану ТЗІ у відповідність до вимог чинного законодавства України та здійснення контролю за їх виконанням;

5) порушення питання перед керівниками органів, щодо яких здійснюється ТЗІ, стосовно проведення службового розслідування (перевірки) при невиконанні вимог нормативно-правових актів і нормативно-технічних документів з питань технічного захисту інформації, вимога щодо захисту якої встановлена законом.

2. Посадові особи УРТЗІ НПУ у разі виявлення порушень норм і вимог з ТЗІ першої або другої категорії мають право порушувати питання щодо призупинення дій відповідних актів атестації комплексів ТЗІ та атестатів відповідності комплексної системи захисту інформації в автоматизованих системах, про що надсилається відповідний запит до Держспецзв’язку.

У випадку виявлення порушень норм і вимог з ТЗІ першої або другої категорії керівник органу, щодо якого здійснюється ТЗІ, негайно видає письмовий наказ про припинення обробки інформації, вимога щодо захисту якої встановлена законом, або державних інформаційних ресурсів на об’єктах інформаційної діяльності (у тому числі на об’єктах електронно-обчислювальної техніки), де були виявлені зазначені порушення.

Дозвіл на відновлення обробки інформації на об’єктах інформаційної діяльності (у тому числі на об’єктах електронно-обчислювальної техніки), де були виявлені порушення норм і вимог з ТЗІ першої або другої категорії, дає керівник органу, щодо якого здійснюється ТЗІ, за погодженням з Держспецзв’язку після усунення порушень.

1. Для проведення перевірки стану ТЗІ посадові особи УРТЗІ НПУ пред'являють керівникові органу, щодо якого здійснюється ТЗІ, або особі, яка виконує його обов’язки, припис на проведення перевірки та службові посвідчення.

2. При проведенні перевірки стану ТЗІ контролю підлягають повнота та достатність упроваджених на об'єктах інформаційної діяльності заходів з ТЗІ, їх відповідність вимогам нормативно-правових актів, виконання рекомендацій щодо усунення порушень з ТЗІ.