Відповідно до статей 6, 8 і 9 Закону України "Про ліцензування певних видів господарської діяльності" , статті 17 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" , статті 5 Закону України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності"

1. Затвердити такі, що додаються:

Ліцензійні умови провадження господарської діяльності з надання послуг у галузі технічного захисту інформації (згідно з переліком, що визначається Кабінетом Міністрів України);

Порядок контролю за додержанням Ліцензійних умов провадження господарської діяльності з надання послуг у галузі технічного захисту інформації (згідно з переліком, що визначається Кабінетом Міністрів України).

2. Директору Департаменту технічного захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України.

4. Цей наказ набирає чинності через шість місяців з дня його офіційного опублікування.

1.1. Ці Ліцензійні умови розроблені відповідно до Законів України "Про ліцензування певних видів господарської діяльності" (далі - Закон про ліцензування), "Про захист інформації в інформаційно-телекомунікаційних системах", "Про державну таємницю", "Про Державну службу спеціального зв'язку та захисту інформації України", постанов Кабінету Міністрів України від 04 липня 2001 року № 756 "Про затвердження переліку документів, які додаються до заяви про видачу ліцензії для окремого виду господарської діяльності" та від 18 травня 2011 року № 517 "Про затвердження переліку послуг у галузі технічного захисту інформації, господарська діяльність щодо надання яких підлягає ліцензуванню" (далі - Постанова № 517).

1.2. Ці Ліцензійні умови встановлюють вичерпний перелік кваліфікаційних, організаційних, технологічних та інших спеціальних вимог, обов'язкових для виконання при провадженні господарської діяльності з надання послуг у галузі технічного захисту інформації (далі - ТЗІ) (згідно з переліком, що визначається Кабінетом Міністрів України).

1.3. Дія цих Ліцензійних умов поширюється на всіх суб’єктів господарювання незалежно від організаційно-правової форми та форми їх власності, які провадять господарську діяльність або звернулися із заявою про видачу ліцензії на право провадження господарської діяльності з надання послуг у галузі ТЗІ (згідно з переліком, що визначається Кабінетом Міністрів України) (далі - господарська діяльність у галузі ТЗІ).

Суб’єкт господарювання може провадити господарську діяльність у галузі ТЗІ з усіх або з окремих видів послуг, визначених Постановою № 517.

Якщо суб’єкт господарювання провадить господарську діяльність у галузі ТЗІ з окремих видів послуг, Ліцензійні умови поширюються на нього виключно в частині, що встановлює вимоги до провадження обраного ним виду послуг.

1.4. Надання послуг у галузі ТЗІ, господарська діяльність щодо надання яких підлягає ліцензуванню, без відповідної ліцензії, після визнання ліцензії недійсною або її анулювання не допускається.

1.5. За наявності у суб’єкта господарювання, який має ліцензію Адміністрації Державної служби спеціального зв’язку та захисту інформації України (далі - Адміністрація Держспецзв’язку), філій, інших відокремлених підрозділів, які провадитимуть господарську діяльність у галузі ТЗІ на підставі отриманої ним ліцензії, за дотримання ними вимог, установлених цими Ліцензійними умовами, відповідає зазначений суб’єкт господарювання.

2.1. У цих Ліцензійних умовах терміни вживаються у таких значеннях:

атестація комплексу ТЗІ - оцінка відповідності комплексу ТЗІ та показників захищеності інформації (у тому числі їх визначення) від витоку технічними каналами на об'єктах інформаційної діяльності (об'єктах електронно-обчислювальної техніки) вимогам нормативно-правових актів і нормативних документів з питань ТЗІ;

експертні оцінювання у сфері ТЗІ - організація та проведення експертних робіт та/або експертних випробувань з метою перевірки, аналізу та оцінки об'єктів експертизи щодо їх відповідності вимогам нормативно-правових актів і нормативних документів системи ТЗІ;

засоби ТЗІ - технічні та програмні засоби, основним функціональним призначенням яких є захист інформації від загроз витоку, порушення цілісності та блокування; технічні засоби, в яких додатково до основного призначення передбачено функції захисту інформації; засоби, що призначені, спеціально розроблені або пристосовані для пошуку закладних пристроїв або контролю захищеності захисту інформації;

закладний пристрій - технічний засіб негласного отримання інформації, розміщений на об’єкті інформаційної діяльності з приховуванням від виявлення особою, яка не має відношення до застосування технічного засобу, факту його наявності та/або застосування, внаслідок чого створюється загроза витоку інформації з об’єкта інформаційної діяльності;

комплекс (система) захисту інформації - сукупність заходів і засобів, призначених для реалізації ТЗІ в інформаційній системі або на об'єкті;

послуги з виявлення закладних пристроїв - проведення пошукових дій щодо виявлення технічних каналів витоку інформації, що утворюються за рахунок використання закладних пристроїв;

послуги з оцінювання захищеності інформації, що підлягають ліцензуванню, - атестація комплексів ТЗІ та експертні оцінювання у сфері ТЗІ.

2.2. Терміни "електронний документ", "інформаційна (автоматизована) система", "комплекс технічного захисту інформації", "комплексна система захисту інформації", "об'єкт інформаційної діяльності", "суб'єкт системи ТЗІ", "технічний захист інформації" вживаються у значеннях, визначених Законами України "Про електронні документи та електронний документообіг", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про Державну службу спеціального зв'язку та захисту інформації України", Положенням про технічний захист інформації в Україні, затвердженим Указом Президента України від 27 вересня 1999 року № 1229.

3.1. Оцінювання захищеності інформації.

3.2. Виявлення закладних пристроїв.

4.1. Суб’єкт господарювання повинен мати штатних або найманих за договором спеціалістів, що відповідають заявленому виду діяльності та обсягу послуг за чисельністю та освітою.

Усі спеціалісти суб’єкта господарювання, які залучаються (передбачено їх залучення) до надання послуг у галузі ТЗІ, повинні відповідати кваліфікаційним вимогам, визначеним у цьому розділі.

4.2. Провадження господарської діяльності з надання послуг, визначених цими Ліцензійними умовами, суб'єкт господарювання здійснює за умови наявності спеціалістів з повною чи базовою вищою освітою за напрямом підготовки "Інформаційна безпека" або повною чи базовою вищою інженерно-технічною освітою фахового спрямування відповідно до обраного виду послуг з додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ за напрямами підготовки відповідно до обраного виду послуг.

4.3. Спеціалісти відповідно до своїх функціональних обов’язків повинні знати:

положення нормативно-правових актів і нормативних документів з питань ТЗІ, що регламентують надання обраних видів послуг;

принципи роботи і технічні характеристики засобів ТЗІ, засобів вимірювальної техніки, контролю, допоміжних засобів і обладнання (далі - обладнання), що забезпечують виконання обраних видів послуг.

4.4. Спеціалісти відповідно до своїх функціональних обов’язків повинні вміти:

користуватися наявним обладнанням, що забезпечує виконання обраного виду послуг;

здійснювати обробку результатів наданих за ліцензією послуг та оформляти звітні (підсумкові) документи.

5.1. Примірники звітних (підсумкових) документів, розроблених під час надання за ліцензією послуг, у тому числі примірники протоколів з результатами вимірювань, а також розрахунками, які виконувались при визначенні показників захищеності інформації від витоку технічними каналами, повинні зберігатися ліцензіатом у вигляді паперових носіїв або електронних документів протягом строку, визначеного в угоді між ним і замовником послуг, але не менше ніж п'ять років.

5.2. Прийняття та оформлення на роботу громадян, яких передбачається залучати для провадження діяльності за ліцензією у галузі ТЗІ, необхідно здійснювати з дотриманням установленого чинним законодавством порядку відповідно до глави ІІІ Кодексу законів про працю України.

6.1. Суб’єкт господарювання повинен мати:

нормативно-правову базу (нормативно-правові акти та нормативні документи з питань ТЗІ в електронному або паперовому вигляді (акти та документи, що мають гриф обмеження доступу, лише у вигляді паперових носіїв));

власне або орендоване згідно з довгостроковими договорами (на строк не менше ніж один рік) обладнання, в тому числі повірені засоби вимірювальної техніки (для виду послуг, визначеного пунктами 3.1 (у разі одержання ліцензії з правом надання послуг з ТЗІ усіх видів, у тому числі інформації, що становить державну таємницю) та 3.2 розділу ІІІ цих Ліцензійних умов). Склад обладнання повинен забезпечувати надання обраного виду послуг. Договір про оренду, якщо інше не встановлено законодавством, повинен містити відомості про переліки: орендованого обладнання (заводський номер, найменування, тип (марка)); експлуатаційної документації до обладнання (найменування, позначення документа); документів, що засвідчують повірку засобів вимірювальної техніки;

приміщення для роботи із замовниками послуг, зберігання обладнання, що забезпечує надання обраного виду послуг, обробки та зберігання документів, розроблених під час надання послуг за ліцензією;

розроблену з урахуванням наявного апаратурного забезпечення та погоджену Адміністрацією Держспецзв’язку методику виявлення закладних пристроїв (для виду послуг, визначеного пунктом 3.2 розділу ІІІ цих Ліцензійних умов).

6.2. Суб’єкт господарювання при провадженні діяльності за ліцензією повинен виконувати вимоги нормативно-правових актів і нормативних документів з питань ТЗІ, що регламентують надання обраних видів послуг.

7.1. Залежно від правового режиму доступу до інформації встановлюються особливі умови надання послуг у галузі ТЗІ:

з правом надання послуг з ТЗІ усіх видів, у тому числі інформації, що становить державну таємницю;

з правом надання послуг з ТЗІ, що не становить державної таємниці.

7.2. Для провадження господарської діяльності з надання послуг з ТЗІ, що становить державну таємницю, суб’єкт господарювання, його філії, інші відокремлені підрозділи повинні мати:

спеціальний дозвіл на провадження діяльності, пов’язаної з державною таємницею. Зазначена в спеціальному дозволі категорія режиму секретності повинна відповідати ступеню секретності відомостей, використання яких передбачено за обраними видами послуг;

допуски до державної таємниці на спеціалістів, які залучаються (передбачено їх залучення) до надання послуг з ТЗІ, що становить державну таємницю. Форма допуску повинна відповідати ступеню секретності відомостей, до яких ці спеціалісти допускаються (передбачено їх допущення);

приміщення для проведення секретних нарад, обговорень і надання послуг у галузі ТЗІ зі створеними та атестованими на відповідність вимогам нормативних документів з ТЗІ комплексами ТЗІ від витоку технічними каналами (за потреби);