Відповідно до Закону України "Про Державну службу спеціального зв'язку та захисту інформації України"

1. Затвердити Положення про державний контроль за станом технічного захисту інформації, що додається.

2. Департаменту державного контролю за станом криптографічного та технічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України.

3. Визнати таким, що втратив чинність, наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 22.12.99 N 61 "Про затвердження Положення про контроль за функціонуванням системи технічного захисту інформації", зареєстрований у Міністерстві юстиції України 11.01.2000 за N 10/4231.

4. Контроль за виконанням наказу покласти на заступника Голови Держспецзв'язку відповідно до розподілу функціональних обов'язків.

1.1. Це Положення визначає порядок організації та здійснення державного контролю за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.

Державний контроль за станом технічного захисту інформації (далі - ТЗІ) здійснюється Державною службою спеціального зв’язку та захисту інформації України (далі - Держспецзв’язку) відповідно до Законів України "Про Державну службу спеціального зв’язку та захисту інформації України", "Про захист інформації в інформаційно-телекомунікаційних системах" , Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року N 411, та Положення про територіальний орган Адміністрації Державної служби спеціального зв’язку та захисту інформації України, затвердженого наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 01 вересня 2014 року N 432, зареєстрованого в Міністерстві юстиції України 18 вересня 2014 року за N 1142/25919.

1.2. Дія Положення поширюється на всі суб'єкти системи технічного захисту інформації.

Державний контроль за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, здійснюється в органах державної влади, органах місцевого самоврядування, утворених відповідно до законодавства військових формуваннях, на підприємствах, в установах і організаціях незалежно від форми власності, у тому числі в закордонних дипломатичних установах України, а також місцях постійного і тимчасового перебування вищих посадових осіб держави (далі - органи, щодо яких здійснюється ТЗІ).

1.3. У Положенні наведені нижче терміни вживаються у таких значеннях:

контрольно-інспекторська робота з питань ТЗІ - діяльність, спрямована на визначення та вдосконалення стану ТЗІ в органах, щодо яких здійснюється ТЗІ;

об'єкт "особливої норми" - місце постійного або тимчасового перебування посадової особи, щодо якої здійснюється державна охорона, призначене для здійснення нею діяльності, пов'язаної з інформацією, необхідність захисту якої визначено законодавством;

передумови витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за відсутності підтвердженої відповідності впроваджених заходів вимогам та нормам з ТЗІ;

порушення в сфері ТЗІ - невиконання вимог нормативно-правових актів та нормативних документів системи ТЗІ за категоріями, які визначають можливість реалізації загроз безпеці інформації;

реальна загроза витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за умов підтвердження відповідними інструментально-розрахунковими методами невідповідності впроваджених заходів вимогам та нормам з ТЗІ;

технічний канал поширення інформації - сукупність джерела інформації та середовища її поширення.

Інші терміни вживаються в Положенні у значеннях, визначених у Законах України "Про державну таємницю", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України" та ДСТУ 3396.2-97 "Технічний захист інформації. Терміни та визначення", НД ТЗІ 1.1-003-99 "Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу".

1.4. Державний контроль за станом ТЗІ полягає в перевірці виконання вимог нормативно-правових актів і нормативних документів з ТЗІ та здійснюється з метою визначення стану ТЗІ в органах, щодо яких здійснюється ТЗІ, виявлення порушень з ТЗІ та запобігання їм.

1.5. Державний контроль за станом ТЗІ здійснюється Держспецзв'язку шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ стосовно органів, щодо яких здійснюється ТЗІ.

1.6. Контрольно-інспекторська робота з питань ТЗІ включає планування, проведення інспекційних перевірок стану ТЗІ в органах, щодо яких здійснюється ТЗІ (далі - перевірка), аналіз їх результатів та надання рекомендацій щодо вдосконалення стану ТЗІ в зазначених органах.

1.7. За результатами контрольно-інспекторської роботи здійснюються аналіз та узагальнення стану ТЗІ в державі.

Аналітичні матеріали щодо стану ТЗІ в державі подаються Президентові України, Голові Верховної Ради України і Прем'єр-міністру України.

2.1. Перевірки стану ТЗІ поділяються на комплексні, цільові (тематичні) та контрольні. Зазначені перевірки можуть бути плановими та позаплановими.

2.2. При комплексній перевірці визначається відповідність комплексу ТЗІ (комплексної системи захисту інформації) вимогам нормативно-правових актів та нормативних документів системи ТЗІ.

2.3. При цільовій (тематичній) перевірці перевіряються окремі складові комплексу ТЗІ (комплексної системи захисту інформації) на відповідність упроваджених заходів вимогам нормативно-правових актів та нормативних документів системи ТЗІ.

2.4. При контрольній перевірці перевіряється повнота та достатність проведених заходів щодо усунення недоліків, які були виявлені в ході проведення попередньої комплексної або цільової перевірки. Контрольні перевірки проводяться за потреби, як правило, після отримання повідомлення про усунення недоліків.

2.5. Планові перевірки здійснюються згідно з річним планом контрольно-інспекторської роботи з питань ТЗІ, затвердженим Головою Держспецзв'язку. Витяги з плану контрольно-інспекторської роботи надсилаються до центральних органів виконавчої влади та в разі потреби до підприємств, установ і організацій.

2.6. Позапланові перевірки здійснюються у разі наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ або з метою визначення повноти та достатності заходів з ТЗІ, вжитих органами, щодо яких здійснюється ТЗІ. Зазначені перевірки можуть проводитися з попередженням або без попередження.

2.7. Керівництву органів, щодо яких здійснюється ТЗІ, повідомляється про проведення перевірки не менше ніж за десять діб до її початку (за винятком проведення позапланової перевірки).

2.8. Перевірки стану ТЗІ здійснюються посадовими особами структурного підрозділу Адміністрації Держспецзв'язку з питань державного контролю за станом криптографічного та технічного захисту інформації і територіальних органів Адміністрації Держспецзв'язку. До перевірок можуть залучатися фахівці інших підрозділів Держспецзв'язку, а також органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій за погодженням з їх керівниками.

2.9. Підставою для допуску посадових осіб Держспецзв'язку до перевірки стану ТЗІ є наявність припису (додаток 1) на право проведення перевірки за підписом керівництва Адміністрації Держспецзв'язку або начальника територіального органу Адміністрації Держспецзв'язку.

2.10. Посадові особи Держспецзв'язку, включені до припису на право проведення перевірки, є уповноваженими особами для складання протоколів про адміністративні правопорушення.

3.1. Посадові особи Держспецзв'язку, які здійснюють перевірки стану ТЗІ, мають право:

доступу на об'єкти інформаційної діяльності органів, щодо яких здійснюється ТЗІ, для здійснення державного контролю за станом ТЗІ, а також до інших приміщень (на територію, у споруди тощо) для вивчення питань, безпосередньо пов'язаних з перевіркою;

ознайомлюватися з будь-якими документами, необхідними для перевірки;

безкоштовно отримувати копії необхідних документів, письмові пояснення посадових осіб (довідки тощо) з питань, що виникають під час перевірки;

надавати за результатами перевірок рекомендації щодо приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та здійснювати контроль за ходом їх виконання;

порушувати в установленому порядку питання щодо зупинення дії або скасування спеціальних дозволів на провадження діяльності, пов'язаної з державною таємницею, у разі виявлення порушень з технічного захисту секретної інформації;

складати протоколи про адміністративні правопорушення та надавати до суду на розгляд справи про адміністративні правопорушення.

3.2. При встановленні фактів вчинення порушень, передбачених Кодексом України про адміністративні правопорушення, посадовими особами Держспецзв'язку, у межах повноважень, визначених статтею 255 Кодексу України про адміністративні правопорушення, складається протокол про адміністративне правопорушення.

4.1. Для проведення перевірки стану ТЗІ посадові особи Держспецзв'язку повинні пред'явити керівнику або вповноваженому представнику органу, щодо якого здійснюється ТЗІ, припис на право проведення перевірки та службові посвідчення.

4.2. При проведенні перевірки стану ТЗІ контролю підлягають повнота та достатність упроваджених на об'єктах інформаційної діяльності заходів з ТЗІ, їх відповідність вимогам нормативно-правових актів, виконання рекомендацій щодо усунення порушень з ТЗІ.

4.3. За результатами перевірок посадовими особами Держспецзв'язку, які їх здійснювали, складаються акти перевірок стану ТЗІ.

4.4. Акт комплексної перевірки стану ТЗІ складається за встановленою формою (додаток 2). Акти контрольних та цільових (тематичних) перевірок складаються у довільній формі.

4.5. Акт перевірки стану ТЗІ готується в двох примірниках. Перший примірник акта перевірки надсилається до суб'єкта системи ТЗІ, що перевірявся, другий - до структурного підрозділу Адміністрації Держспецзв'язку з питань державного контролю за станом криптографічного та технічного захисту інформації.

У разі проведення перевірки територіальним органом Адміністрації Держспецзв'язку готується третій примірник, який надсилається до органу Держспецзв'язку, посадові особи якого здійснювали перевірку.

4.6. Усі примірники акта підписуються посадовими особами Держспецзв'язку, якими проводилася перевірка, та затверджуються керівником Адміністрації Держспецзв'язку або начальником територіального органу Адміністрації Держспецзв'язку, який підписав припис на проведення перевірки.

Ознайомлення керівника органу, щодо якого здійснюється ТЗІ, з актом здійснюється за його підписом.

4.7. У разі відмови керівника органу, щодо якого здійснюється ТЗІ, засвідчити факт ознайомлення з актом перевірки своїм підписом, посадовими особами Держспецзв'язку, що здійснювали перевірку, робиться в акті відповідний запис.

5.1. Порушення вимог з ТЗІ поділяються на три категорії, які визначають можливість реалізації загроз безпеці інформації:

перша категорія - невиконання вимог нормативно-правових актів та нормативних документів з ТЗІ, унаслідок чого створюється реальна загроза порушення конфіденційності, зокрема за рахунок витоку (просочення) технічними каналами та (або) цілісності й доступності інформації;

друга категорія - невиконання вимог нормативно-правових актів та нормативних документів з ТЗІ, унаслідок чого створюються передумови до порушення конфіденційності, зокрема за рахунок витоку (просочення) технічними каналами та (або) цілісності й доступності інформації;

третя категорія - невиконання інших вимог з ТЗІ.

5.2. Кваліфікаційні ознаки порушень з ТЗІ

Ознаки порушень першої категорії:

установлення факту циркуляції інформації з обмеженим доступом на об'єктах інформаційної діяльності, в інформаційних або інформаційно-телекомунікаційних системах за умов підтвердження інструментально-розрахунковими методами наявності технічного каналу поширення інформації з обмеженим доступом;

установлення факту обробки інформації з обмеженим доступом в інформаційних, телекомунікаційних або інформаційно-телекомунікаційних системах, які мають вихід незахищеними каналами зв'язку за межі контрольованої зони, за умов відсутності атестата відповідності на комплексну систему захисту інформації;

установлення факту обробки інформації з обмеженим доступом в інформаційних або інформаційно-телекомунікаційних системах, які не мають виходу за межі контрольованої зони, за умов доступу до її інформаційних ресурсів користувачів, які мають різні повноваження (права доступу до інформації), та відсутності атестата відповідності на комплексну систему захисту інформації;

установлення факту обробки державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, які мають підключення до телекомунікаційних мереж (у тому числі телекомунікаційних мереж загального користування), за умов відсутності атестата відповідності на комплексну систему захисту інформації;

установлення факту несанкціонованого доступу користувачів інформаційних, телекомунікаційних або інформаційно-телекомунікаційних систем до державних інформаційних ресурсів, або інформації з обмеженим доступом шляхом порушення встановлених правил розмежування доступу або подолання заходів захисту.

Ознаки порушень другої категорії:

установлення факту циркуляції інформації з обмеженим доступом на об'єктах інформаційної діяльності, в інформаційних або інформаційно-телекомунікаційних системах за умов відсутності підтвердження інструментально-розрахунковими методами відповідності комплексу ТЗІ нормам та вимогам з ТЗІ;

установлення факту обробки інформації з обмеженим доступом в інформаційно-телекомунікаційних системах, які мають вихід за межі контрольованої зони захищеними каналами, за умов відсутності атестата відповідності на комплексну систему захисту інформації;

установлення факту обробки державних інформаційних ресурсів, або інформації з обмеженим доступом в інформаційних, телекомунікаційних або інформаційно-телекомунікаційних системах, які не мають виходу за межі контрольованої зони, за умов відсутності атестата відповідності на комплексну систему захисту інформації.