З метою визначення організаційних засад діяльності підрозділів технічного захисту інформації, які призначені для проведення робіт з технічного захисту інформації, порядку проведення такими підрозділами робіт у структурі Міністерства

1. Затвердити Порядок організації діяльності підрозділів технічного захисту інформації у системі МНС (далі - Порядок), що додається.

2. Затвердити Типове положення про підрозділ, який виконує роботи з технічного захисту інформації у системі МНС України, що додається.

3. Керівникам Державного департаменту страхового фонду документації МНС (Степаненко В.Л.), Головних управлінь МНС у Львівській (Дмитровський С.Ю.), Миколаївській (Поступальський М.І.) і Харківській (Одарюк П.В.) областях, Вузла зв'язку та автоматизації МНС (Лобода С.М.) забезпечити:

виконання умов отримання повноважень на проведення робіт з технічного захисту інформації;

дієвий контроль за підготовкою підрозділів ТЗІ до виконання завдань за призначенням.

4. Керівникам урядових органів державного управління, територіальних органів управління МНС, а також підприємств, установ та організацій, що належать до сфери управління МНС, не зазначених у пункті 3 цього наказу, при організації робіт з технічного захисту інформації керуватися розділами V та VII Порядку.

5. Управлінню зв'язку та оповіщення (Лоєнко А.О.) організувати:

методичне забезпечення підготовки підрозділів, які виконуватимуть роботи з технічного захисту інформації, за напрямком основної діяльності;

координацію діяльності цих підрозділів;

контроль за їх діяльністю.

6. Контроль за виконанням цього наказу залишаю за собою.

1.1. Цей Порядок визначає правові та організаційні засади діяльності підрозділів МНС, яким надано повноваження на проведення відповідних видів робіт з технічного захисту інформації в урядових органах державного управління, територіальних органах управління МНС, підприємствах, установах та організаціях, що належать до сфери управління МНС.

1.2. Цим Порядком також встановлюються організаційні засади проведення робіт з технічного захисту інформації у системі МНС такими підрозділами.

У цьому Порядку наведено посилання на такі нормативні документи:

2.1. Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27 вересня 1999 р. N 1229/99.

2.2. ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації. Терміни та визначення.

2.3. Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб, затверджене наказом ДСТСЗІ СБ України від 23.02.2002 N 9, зареєстроване у Міністерстві юстиції України 13 березня 2002 р. за N 245/6533.

2.4. Положення про державну експертизу в сфері ТЗІ, затверджене наказом Держспецзв'язку України від 16.05.2007 N 93, зареєстроване у Міністерстві юстиції України 16 липня 2007 р. за N 820/14087.

2.5. НД ТЗІ 1.1-005-07. Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення.

2.6. НД ТЗІ 3.1-001-07. Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи.

2.7. НД ТЗІ 3.3-001-07. Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації.

2.8. НД ТЗІ 2.1-002-07. Захист інформації на об'єктах інформаційної діяльності. Випробування комплексу ТЗІ.

2.9. НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.

2.10. НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі.

2.11. НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.

2.12. НД ТЗІ 3.7-003-05. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.

2.13. Типовий порядок створення комплексних систем захисту інформації в автоматизованих системах класу 1 у структурі МНС України, погоджений з Держспецзв'язку 22.05.2007 і затверджений наказом МНС від 08.08.2007 N 539дск.

У цьому Порядку використовуються такі поняття:

Установа - урядові органи державного управління, територіальні органи управління МНС, а також підприємства, установи та організації, що належать до сфери управління МНС.

Підрозділ ТЗІ - підрозділ Установи, призначений для виконання робіт з технічного захисту інформації у системі МНС відповідно до повноважень, наданих Міністерством згідно з Дозволом на проведення робіт з технічного захисту інформації для власних потреб.

Інші терміни та скорочення вживаються відповідно до законодавства у сфері технічного захисту інформації.

4.1. Розроблення, впровадження, випробування, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля.

4.2. Розроблення, впровадження, випробування, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали.

4.3. Розроблення, впровадження, випробування, супроводження комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу.

4.4. Виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності.

5.1. У системі МНС роботи з технічного захисту інформації проводяться підрозділами ТЗІ Установ відповідно до Дозволу на проведення робіт з технічного захисту інформації для власних потреб, наданого Міністерству у встановленому порядку, та повноважень на проведення відповідних видів робіт відповідно до наказу МНС.

Роботи з технічного захисту інформації у системі МНС також можуть проводити організації, які мають ліцензію на проведення відповідних видів робіт з технічного захисту інформації та спеціальний дозвіл на провадження діяльності, пов'язаної з державною таємницею.

5.2. Повноваження Підрозділу ТЗІ на проведення відповідних видів робіт з ТЗІ надаються наказом МНС.

5.3. Координацію, облік проведених робіт та контроль за діяльністю Підрозділів ТЗІ Установ здійснює Управління зв'язку та оповіщення МНС (далі - Управління).

5.4. Призначення кандидатів на посади у Підрозділ ТЗІ здійснюється після погодження кандидатур з Управлінням.

5.5. Основні завдання, функції, обов'язки та відповідальність Підрозділу ТЗІ Установи визначаються Положенням про підрозділ ТЗІ, яке затверджується керівником Установи.

5.6. Впровадження заходів ТЗІ в Установі, до складу якої входить Підрозділ ТЗІ, організовується керівником Установи.

5.7. Безпосередній контроль за виконанням завдань Підрозділом ТЗІ покладається на керівника підрозділу зв'язку та інформатизації Установи.

5.8. Організація заходів ТЗІ у центральному апараті Міністерства здійснюється Управлінням.

5.9. Інструментальний контроль виконання вимог та норм технічного захисту інформації на об'єкті інформаційної діяльності (далі - ОІД), де розроблено та впроваджено Підрозділом ТЗІ комплекс технічного захисту інформації, може здійснюватися Центром ТЗІ Вузла зв'язку та автоматизації МНС.

6.1. Для одержання повноважень Підрозділу ТЗІ на проведення окремих видів робіт або усього переліку, зазначених у пункті 4 цього Порядку, Установа, до складу якої входить такий підрозділ, повинна мати:

6.1.1. Призначених наказом керівника Установи спеціалістів для проведення обраних видів робіт, які мають повну чи базову вищу освіту за напрямом підготовки "Інформаційна безпека" або інженерно-технічну освіту фахового спрямування, відповідного обраному виду роботи, з додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ чи стажем роботи у галузі ТЗІ за обраним видом роботи не менше 3 років, а також мають оформлені у встановленому порядку допуски до державної таємниці.

6.1.2. Нормативно-правові акти та нормативні документи з технічного захисту інформації, необхідні для проведення обраних видів робіт.

6.1.3. Повірені в установленому порядку засоби вимірювань і контролю (як власні, так і залучені на договірних засадах), а також засоби ЕОТ в обсязі, що забезпечує проведення обраних видів робіт.

6.1.4. Приміщення, у яких впроваджено і атестовано комплекси ТЗІ та інформаційні системи з впровадженою КСЗІ з підтвердженою відповідністю.

6.1.5. Спеціальний дозвіл на провадження діяльності, пов'язаної з державною таємницею.

6.1.6. Окреме приміщення, в якому розміщується начальницький склад та працівники, а також апаратура Підрозділу ТЗІ і забезпечується обмежений доступ сторонніх осіб.

6.2. Начальницький склад та працівники Підрозділу ТЗІ повинні знати методики та порядок виконання робіт з ТЗІ відповідно до вимог нормативних документів та уміти застосовувати наявну апаратуру і обладнання. Методичний супровід підвищення кваліфікації начальницького складу та працівників Підрозділу ТЗІ забезпечується Управлінням.

6.3. За умов виконання вимог, зазначених у пунктах 6.1 та 6.2 цього Порядку, Установа, у складі якої функціонує Підрозділ ТЗІ, подає до Міністерства заяву про надання повноважень на проведення робіт з ТЗІ згідно з додатком 1.

6.4. Після отримання заяви Міністерство перевіряє відомості, що містяться у поданих матеріалах, створені умови для проведення заявлених видів робіт, підготовленість начальницького складу і працівників Підрозділу ТЗІ та приймає рішення про надання повноважень на виконання заявлених видів робіт або надає рекомендації щодо усунення виявлених недоліків і термін наступної перевірки.

6.5. Повідомлення про недостатній рівень підготовленості посадових осіб Підрозділу ТЗІ до самостійного проведення робіт направляється письмово до Установи.

7.1. Створення комплексу технічного захисту інформації на ОІД (далі - комплекс ТЗІ).

7.1.1. Установа, на ОІД якої буде оброблятися (циркулювати) інформація з обмеженим доступом, яка є власністю держави, організовує виконання вимог нормативних документів, зазначених у п. п. 2.5 - 2.8 цього Порядку.

7.1.2. Для уточнення даних і перевірки достатності вимог з технічного захисту інформації на ОІД щодо створення комплексу ТЗІ Технічне завдання на створення комплексу ТЗІ на ОІД та модель загроз інформації на ОІД надсилаються до МНС для розгляду Управлінням.

7.1.3. Після встановлення достатності вимог щодо захисту інформації на ОІД Технічне завдання на створення комплексу ТЗІ на ОІД погоджує начальник Управління та затверджує керівник Установи.

7.2. Створення комплексної системи захисту інформації в інформаційній, телекомунікаційній або інформаційно-телекомунікаційній системі (далі - КСЗІ в ІТС).

7.2.1. Установа, в ІТС якої буде оброблятися інформація, що є власністю держави, організовує виконання вимог документів, зазначених у п. п. 2.10 - 2.13 цього Порядку.

7.2.2. Для перевірки, уточнення даних щодо створення КСЗІ в ІТС та встановлення достатності вимог щодо захисту інформації в ІТС Технічне завдання на створення КСЗІ в ІТС та модель загроз інформації в ІТС надсилаються до МНС.

7.2.3. Після встановлення достатності вимог щодо захисту інформації в ІТС Технічне завдання на створення КСЗІ в ІТС погоджує начальник Управління та затверджує керівник Установи.

7.3. Придбання матеріалів та засобів ТЗІ для створення комплексів ТЗІ на ОІД та КСЗІ в ІТС.

7.3.1. Придбання технічних, програмних, програмно-апаратних засобів захисту інформації та матеріалів, необхідних для створення комплексу ТЗІ на ОІД та КСЗІ в ІТС здійснюється Установою після обстеження ОІД (ІТС) і надання рекомендацій фахівцями підрозділу ТЗІ, який проводитиме роботи з ТЗІ.

7.3.2. Уточнення обсягів робіт, оцінки можливих загроз інформації і необхідних заходів захисту інформації на ОІД (в ІТС), здійснює представник Підрозділу ТЗІ, який проводитиме роботи.

7.4. Після погодження Технічного завдання, розроблення необхідних документів та придбання засобів ТЗІ Установа подає на ім'я заступника Міністра - голову комісії з питань технічного захисту інформації МНС заяву згідно з додатком 2.

7.5. Проведення робіт Підрозділом ТЗІ відповідно до заяви здійснюється за письмовим розпорядженням заступника Міністра - голови комісії з питань технічного захисту інформації в МНС.

7.6. Проведення чергових випробувань та атестації діючих комплексів ТЗІ здійснюється після подання відповідної заяви згідно з додатком 2, а також письмового розпорядження згідно з пунктом 7.5.

7.7. До отримання Міністерством повноваження від Адміністрації Держспецзв'язку України щодо організації та проведення первинних або додаткових експертиз КСЗІ в ІТС проведення таких експертиз у структурі МНС здійснюється ліцензіатами у сфері ТЗІ, які входять до відповідного реєстру організаторів державної експертизи у сфері ТЗІ.

Порядок проведення державної експертизи КСЗІ в ІТС визначається Положенням про державну експертизу в сфері ТЗІ, затвердженим та введеним у дію відповідним наказом Держспецзв'язку.

7.8. Під час проведення робіт Підрозділ ТЗІ зобов'язаний:

дотримуватися вимог режиму секретності;

здійснювати впровадження заходів захисту інформації відповідно до вимог чинних нормативних документів з питань ТЗІ та розпорядчих документів МНС за напрямом ТЗІ;

застосовувати технічні засоби забезпечення технічного захисту інформації (технічні засоби із захистом інформації, засоби технічного захисту інформації, засоби контролю за ефективністю технічного захисту інформації), які дозволено у встановленому порядку для використання та включено до відповідних переліків;

терміново (телефонним зв'язком та не пізніше наступного дня письмово) інформувати регіональний підрозділ Служби безпеки України про виявлення закладних пристроїв, до початку подальших дій, які будуть визначені Службою безпеки України за фактом виявлення закладних пристроїв, забезпечувати їх схоронність у стані, в якому вони знаходилися на час виявлення;

інформувати письмово у тижневий термін регіональний підрозділ Держспецзв'язку та режимно-секретний орган МНС про факти виявлення закладних пристроїв (тип та технічні характеристики закладних пристроїв, місце та спосіб встановлення, демаскуючі ознаки, спосіб виявлення тощо).

8.1. Контроль за дотриманням вимог нормативних документів системи ТЗІ та умов проведення робіт з ТЗІ для власних потреб здійснює Управління під час проведення перевірок, а також шляхом аналізу документів, розроблених Підрозділом ТЗІ у ході проведення робіт і направлених за вказівкою до МНС.

Виконання вимог нормативних документів системи ТЗІ у ході створення КСЗІ в ІТС перевіряється під час проведення державної експертизи.

8.2. Конкретний перелік питань, які підлягають контролю, визначається у програмі (плані) проведення перевірки.

8.3. У разі виявлення порушень вимог з технічного захисту інформації, допущених начальницьким складом та працівниками Підрозділу ТЗІ у ході виконання робіт, унаслідок чого створюється реальна загроза або передумови порушення конфіденційності, зокрема за рахунок витоку (просочення) технічними каналами, та/або цілісності й доступності інформації, Міністерством приймається рішення щодо призупинення повноважень Підрозділу ТЗІ з визначенням терміну позачергової перевірки рівня теоретичних знань та практичних навичок посадових осіб Підрозділу ТЗІ за напрямком діяльності.

На ОІД Установи, де виявлено такі порушення, призупиняється діяльність з інформацією з обмеженим доступом до усунення виявлених порушень.

8.4. Відновлення повноважень Підрозділу ТЗІ здійснюється після отримання позитивних результатів додаткової перевірки підготовленості його посадових осіб та усунення інших недоліків, які призвели до порушення.

8.5. Відновлення функціонування ОІД здійснюється після отримання акта атестації комплексу ТЗІ за результатами позачергової атестації.

9.1. Забезпечення Підрозділу ТЗІ необхідними нормативними документами з питань технічного захисту інформації здійснюється Міністерством відповідно до Угоди між МНС та Держспецзв'язку "Про порядок розмноження та розповсюдження в Міністерстві України з питань надзвичайних ситуацій та у справах захисту населення від наслідків Чорнобильської катастрофи нормативних документів з питань технічного захисту інформації".

9.2. Придбання необхідних нормативно-методичних документів з питань технічного захисту інформації колишнього СРСР, державних стандартів, державних будівельних норм здійснюється Установою самостійно.

10.1. Підвищення кваліфікації начальницького складу та працівників Підрозділів ТЗІ здійснюється відповідно до вимог нормативних документів з питань ТЗІ на курсах підвищення кваліфікації у галузі інформаційної безпеки, які внесені до відповідного переліку Держспецзв'язку, з отриманням свідоцтва про підвищення кваліфікації державного зразка.

10.2. Підвищення рівня професійної підготовки начальницького складу та працівників Підрозділів ТЗІ у системі МНС здійснюється шляхом проведення навчально-методичних зборів, семінарів та самостійної підготовки. У ході проведення зборів відпрацьовуються практичні навички щодо використання пошукової та вимірювальної апаратури і обладнання, здійснюється удосконалення теоретичної підготовки за напрямами діяльності.

10.3. У ході проведення навчально-методичних зборів проводиться оцінка знань начальницького складу та працівників Підрозділів ТЗІ за напрямком діяльності.

11.1. Підрозділом ТЗІ щороку (до 1 грудня) подаються до МНС відомості щодо виконаних протягом поточного року робіт за формою згідно з додатком 3.