Відповідно до Закону України "Про захист інформації в інформаційно-комунікаційних системах", Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087, з метою забезпечення проведення експертизи комплексної системи захисту інформації в інформаційно-комунікаційних системах органів і підрозділів Національної поліції України НАКАЗУЮ:

1. Затвердити Порядок організації та проведення первинної та додаткової експертизи комплексної системи захисту інформації в інформаційно-комунікаційних системах органів і підрозділів Національної поліції України, що додається.

2. Департаменту формування політики щодо підконтрольних Міністрові органів влади та моніторингу МВС (Боднар В.Є.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Контроль за виконанням цього наказу покласти на Голову Національної поліції України Деканоідзе Х.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Цей Порядок розроблено відповідно до Закону України "Про захист інформації в інформаційно-комунікаційних системах", Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, Положення про державну експертизу в сфері технічного захисту інформації, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 16 травня 2007 року № 93, зареєстрованого в Міністерстві юстиції України 16 липня 2007 року за № 820/14087 (далі – Положення), та наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 19 червня 2015 року № 023, зареєстрованого в Міністерстві юстиції України 17 липня 2015 року за № 858/27303.

2. Цей Порядок визначає основи організації та проведення первинної та додаткової експертизи комплексної системи захисту інформації (далі – КСЗІ) в інформаційно-комунікаційних системах (далі – ІКС) територіальних (міжрегіональних) органів (далі – органи) і структурних підрозділів (далі – підрозділи) Національної поліції України.

3. Вимоги цього Порядку є обов’язковими для органів і підрозділів Національної поліції України, в ІКС яких обробляється відкрита інформація та інформація з обмеженим доступом.

4. Первинна експертиза є основним видом експертизи і передбачає виконання організатором експертизи усіх необхідних заходів для підготовки та прийняття рішення щодо відповідності об’єкта експертизи вимогам чинного законодавства.

5. Додаткова експертиза проводиться стосовно об’єктів експертизи, щодо яких відкрилися нові наукові та науково-технічні обставини або в зв'язку із закінченням терміну дії документів, що засвідчують результати експертизи.

1. Роботи зі створення КСЗІ в ІКС виконуються органом або підрозділом Національної поліції України, що експлуатує ІКС. Виконання робіт під час створення КСЗІ здійснюється відповідно до вимог чинного законодавства, а в разі захисту інформації, що становить державну таємницю, - з врахуванням вимог наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 19 червня 2015 року № 023, зареєстрованого в Міністерстві юстиції України 17 липня 2015 року за № 858/27303, та інших нормативних документів з технічного захисту інформації (далі – ТЗІ).

2. Організація та проведення робіт із захисту інформації в ІКС здійснюється службою захисту інформації, яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію системи захисту, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації.

Служба захисту інформації утворюється згідно з рішенням керівника органу або підрозділу Національної поліції України, що є власником (розпорядником) ІКС.

У разі коли обсяг робіт, пов'язаних із захистом інформації в ІКС, є незначний, захист інформації може здійснюватися однією особою.