Відповідно до Законів України "Про підприємництво", "Про інформацію", "Про захист інформації в автоматизованих системах" та "Про державну таємницю", Положення про технічний захист інформації в Україні, затвердженого постановою Кабінету Міністрів України від 9 вересня 1994 року N 632, Положення про Ліцензійну палату України, затвердженого Указом Президента України від 16 липня 1997 року N 648/97, та на виконання постанови Кабінету Міністрів України від 3 липня 1998 року N 1020 "Про порядок ліцензування підприємницької діяльності"

1. Затвердити Інструкцію про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів технічного захисту інформації, а також з наданням послуг із технічного захисту інформації, та контроль за їх дотриманням (додається).

2. Управлінню ліцензування підприємницької діяльності Ліцензійної палати (Хоменко Л.Г.), Головному управлінню технічного захисту інформації Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України (Семенов Ю.О.) в установленому порядку в п'ятиденний термін подати Інструкцію на державну реєстрацію до Міністерства юстиції України.

3. Управлінню ліцензування підприємницької діяльності Ліцензійної палати (Хоменко Л.Г.) довести до відома працівників Ліцензійної палати, представництв Ліцензійної палати Автономної Республіки Крим, областей, міст Києва та Севастополя Інструкцію про умови і правила провадження підприємницької діяльності (ліцензійні умови), пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів технічного захисту інформації, а також з наданням послуг із технічного захисту інформації, та контроль за їх дотриманням.

4. Передбачити в планах-графіках:

Управлінню контрольної роботи Ліцензійної палати (Апатенко О.П.) - перевірку додержання порядку надання ліцензій Департаментом спеціальних телекомунікаційних систем та захисту інформації СБ України;

Управлінню контрольної роботи Ліцензійної палати (Апатенко О.П.) та Головному управлінню технічного захисту інформації Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України (Семенов Ю.О.) - перевірку суб'єктів підприємницької діяльності щодо дотримання умов і правил провадження діяльності в галузі технічного захисту інформації.

5. Заступнику керівника Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України - начальнику Головного управління технічного захисту інформації Семенову Ю.О. забезпечити публікацію в засобах масової інформації Інструкції про умови і правила провадження діяльності, пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів технічного захисту інформації, а також з наданням послуг із технічного захисту інформації, та контроль за їх дотриманням.

6. Інструкцію щодо умов і правил здійснення діяльності у галузі технічного захисту інформації та контролю за їх дотриманням, затверджену наказом Державної служби України з питань технічного захисту інформації від 23 травня 1994 р. N 46 та зареєстровану в Міністерстві юстиції України 1 червня 1994 року за N 120/329, вважати такою, що втратила чинність.

7. Контроль за виконанням цього наказу покласти на заступника Голови Ліцензійної палати України Музичука В.Т. та першого заступника керівника Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України Барлабанова В.В.

1.1. Інструкція розроблена відповідно до Законів України "Про підприємництво", "Про інформацію", "Про захист інформації в автоматизованих системах" та "Про державну таємницю", Положення про технічний захист інформації в Україні, затвердженого постановою Кабінету Міністрів України від 9 вересня 1994 року N 632, Положення про порядок ліцензування підприємницької діяльності, затвердженого постановою Кабінету Міністрів України від 3 липня 1998 року N 1020.

1.2. Інструкція визначає ліцензійні умови провадження діяльності, пов'язаної з розробленням, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів технічного захисту інформації, наданням послуг із технічного захисту інформації, а також установлює порядок контролю за дотриманням ліцензійних умов цієї діяльності.

1.3. У межах зазначеної діяльності, що підлягає ліцензуванню, виконуються такі види робіт:

1.3.1. Дослідження об'єктів інформаційної діяльності та інформаційних систем щодо безпеки інформації, надання консультативних послуг з технічного захисту інформації.

1.3.2. Розроблення, впровадження, атестація, обслуговування систем технічного захисту інформації від технічних розвідок та спеціальних впливів на об'єктах інформаційної діяльності.

1.3.3. Розроблення, впровадження, супроводження систем технічного захисту інформації в інформаційних системах.

1.3.4. Виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності.

1.3.5. Розроблення, виготовлення, використання та реалізація засобів забезпечення технічного захисту інформації.

1.3.6. Ввезення, вивезення засобів технічного захисту інформації.

1.4. Суб'єктами підприємницької діяльності, яким надається право на провадження діяльності в галузі технічного захисту інформації, можуть бути громадяни-підприємці та юридичні особи всіх форм власності, що створили умови відповідно до вимог цієї Інструкції.

1.5. Видача, переоформлення, зупинення, анулювання та поновлення дії ліцензій на провадження діяльності в галузі технічного захисту інформації проводиться Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - Департамент) відповідно до Положення про порядок ліцензування підприємницької діяльності, затвердженого постановою Кабінету Міністрів України від 3 липня 1998 року N 1020.

1.6. Департамент після прийняття заяви та перевірки відомостей, які містяться у поданих матеріалах, перевіряє створені заявником умови для провадження діяльності в галузі технічного захисту інформації. Результати перевірки оформлюються актом. До акта додаються матеріали, що підтверджують спроможність виконання заявником ліцензійних умов провадження обраних видів робіт.

1.7. При здійсненні декількох видів робіт видається одна ліцензія.

У цій Інструкції терміни та визначення вживаються в такому значенні:

об'єкт інформаційної діяльності - середовище, інженерно-технічна споруда, приміщення з визначеною контрольованою зоною, де здійснюється адміністративна, фінансово-економічна, виробнича, науково-технологічна та інша діяльність, пов'язана з інформацією, що підлягає захисту;

інформаційна система - автоматизована система, комп'ютерна мережа, система зв'язку;

дослідження об'єктів інформаційної діяльності, інформаційних систем щодо безпеки інформації - вивчення та аналіз проектної, програмної документації, технологічних процесів, інформаційних потоків, умов функціонування об'єктів інформаційної діяльності, інформаційних систем з метою визначення загрози безпеці інформації щодо її витоку, блокування чи порушення цілісності;

консультативні послуги в галузі технічного захисту інформації - розроблення рекомендацій щодо організації (створення) системи технічного захисту інформації об'єкта інформаційної діяльності або інформаційної системи на підставі матеріалів їх дослідження; оцінка можливої шкоди, завданої реалізацією загрози інформації; визначення та техніко-економічне обгрунтування потрібного рівня захисту інформації та відповідних заходів; надання методичної допомоги щодо розробки нормативно-правових актів, нормативних документів, проектної та робочої документації при створенні засобів і систем захисту інформації для об'єктів та інформаційних систем, проведення експертизи таких документів; організація курсів, семінарів тощо поза межами державних закладів освіти; розповсюдження нормативних документів системи технічного захисту інформації в Україні;

розроблення засобу забезпечення чи системи технічного захисту інформації - створення або модернізація апаратного, апаратно-програмного чи програмного засобу забезпечення технічного захисту інформації або системи технічного захисту інформації від технічних розвідок, спеціальних впливів або несанкціонованого доступу, які пов'язані із: складанням технічного завдання, ескізним, технічним (ескізно-технічним), робочим проектуванням; розробленням експлуатаційної документації, програм і методик приймальних (атестаційних) випробувань; виготовленням та випробуванням дослідних зразків, приймальними випробуваннями;

упровадження системи технічного захисту інформації - введення в дію розробленої системи технічного захисту інформації на конкретному об'єкті інформаційної діяльності або в конкретній інформаційній системі, включаючи забезпечення перевірки достатності рівня захищеності інформації шляхом її атестації на об'єкті або експертизи в інформаційній системі;

атестація системи технічного захисту інформації - атестаційні (первинні, періодичні) випробування захищеності інформації на об'єкті від технічних розвідок та спеціальних впливів на відповідність вимогам нормативних документів з технічного захисту інформації;

обслуговування системи технічного захисту інформації на об'єкті - забезпечення функціонування згідно з експлуатаційною документацією системи технічного захисту інформації після її впровадження;

супроводження системи технічного захисту інформації в інформаційній системі - забезпечення функціонування та модернізації системи технічного захисту інформації після її впровадження в інформаційній системі;

виготовлення засобів забезпечення технічного захисту інформації - технологічна підготовка, здійснення серійного або одиничного виробництва;

закладний пристрій - потай встановлений технічний засіб, який створює загрозу для інформації.

Для провадження діяльності в галузі технічного захисту інформації суб'єкт підприємницької діяльності повинен мати: