Відповідно до пункту 11 частини першої статті 16 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" та Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868,

1. Затвердити Порядок оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, що додається.

2. Начальнику Департаменту безпеки інформаційно-телекомунікаційних систем Адміністрації Держспецзв'язку забезпечити подання наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Контроль за виконанням наказу покласти на заступника Голови Держспецзв'язку Фролова О.В.

1. Цей Порядок, розроблений відповідно до пункту 11 частини першої статті 16 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України", визначає правові та організаційні засади проведення оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах органів державної влади, органів місцевого самоврядування, військових формувань, утворених відповідно до законів України (далі - військові формування), підприємств, установ і організацій незалежно від форм власності.

Дія цього Порядку не поширюється на системи спеціального зв'язку.

2. Терміни у цьому Порядку вживаються у такому значенні:

оцінка (оцінювання) стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - оцінка стану захищеності) - сукупність заходів, спрямованих на виявлення загроз державним інформаційним ресурсам від здійснення несанкціонованих дій в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - ІТС);

оцінка (оцінювання) захищеності інформації в інформаційній, телекомунікаційній та інформаційно-телекомунікаційній системі (далі - оцінка захищеності) - заходи щодо виявлення в інформаційній, телекомунікаційній, інформаційно-телекомунікаційній системі технічних рішень, що створюють можливість здійснення дій з порушення цілісності, конфіденційності та доступності інформації, яка в ній циркулює.

Інші терміни вживаються у значенні, наведеному у Законах України "Про захист інформації в інформаційно-телекомунікаційних системах", "Про Державну службу спеціального зв'язку та захисту інформації України".

3. Об'єктом оцінки стану захищеності є стан захищеності державних інформаційних ресурсів, які обробляються в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, незалежно від наявності комплексної системи захисту інформації (далі - КСЗІ).

4. Оцінка стану захищеності здійснюється з метою виявлення існуючих загроз державним інформаційним ресурсам в ІТС і є складовою частиною заходів із захисту інформації.

5. В ІТС, де створено КСЗІ з підтвердженою відповідністю, оцінка стану захищеності здійснюється з метою виявлення загроз державним інформаційним ресурсам, які виникли у процесі експлуатації КСЗІ внаслідок недотримання вимог нормативних актів у сфері захисту інформації в ІТС та які не враховані у КСЗІ.

6. У разі виявлення в ІТС, де створено КСЗІ з підтвердженою відповідністю, додаткових загроз державним інформаційним ресурсам, які виникли за період експлуатації КСЗІ, інформація про таку КСЗІ надається Держспецзв'язку згідно з Положенням про Реєстр інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління, затвердженим постановою Кабінету Міністрів України від 03.08.2005 N 688.

7. Оцінка стану захищеності в органі державної влади, органі місцевого самоврядування, військовому формуванні, підприємстві, установі, організації незалежно від форми власності здійснюється Держспецзв'язку.

8. За результатами оцінки стану захищеності складається акт оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - Акт) згідно з додатком, де викладаються результати роботи комісії та рекомендації стосовно підвищення рівня захищеності державних інформаційних ресурсів, який затверджується Головою Держспецзв'язку або його заступником за напрямом діяльності згідно з розподілом функціональних обов'язків.

9. З метою здійснення оцінки стану захищеності: