Відповідно до статті 37 Закону України "Про державну таємницю", пункту 12 Положення про технічний захист інформації в Україні , затвердженого Указом Президента України від 27 вересня 1999 року № 1229, підпункту 7 пункту 5 Положення про Міністерство внутрішніх справ України , затвердженого постановою Кабінету Міністрів України від 28 жовтня 2015 року № 878, з метою контролю за станом технічного захисту інформації в апараті МВС, територіальних органах з надання сервісних послуг МВС, закладах, установах і на підприємствах, що належать до сфери управління МВС,

1. Затвердити Положення про контроль за станом технічного захисту інформації в апараті МВС, територіальних органах з надання сервісних послуг МВС, закладах, установах і на підприємствах, що належать до сфери управління МВС, що додається.

2. Департаменту з питань режиму та службової діяльності Міністерства внутрішніх справ України (Терещенко Ю.В.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

1. Це Положення визначає порядок організації та здійснення контролю за станом технічного захисту державних інформаційних ресурсів та інформації, вимогу щодо захисту якої встановлено законом.

2. Контроль за станом технічного захисту інформації (далі - ТЗІ) здійснює відділ технічного захисту інформації Департаменту з питань режиму та службової діяльності Міністерства внутрішніх справ України (далі - ВТЗІ ДПРСД МВС).

3. Контроль за станом ТЗІ здійснюється у структурних підрозділах апарату МВС, територіальних органах з надання сервісних послуг МВС, закладах, установах і на підприємствах, що належать до сфери управління МВС (далі - органи, щодо яких здійснюється ТЗІ).

4. Терміни, використані в цьому Положенні, уживаються в таких значеннях:

контрольно-інспекторська робота з питань ТЗІ - діяльність, спрямована на визначення та вдосконалення стану ТЗІ в органах, щодо яких здійснюється ТЗІ;

передумови витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за відсутності підтвердженої відповідності впроваджених заходів вимогам та нормам з ТЗІ;

порушення у сфері ТЗІ - невиконання вимог нормативно-правових актів та нормативно-технічних документів системи ТЗІ за категоріями, які визначають можливість реалізації загроз безпеці інформації;

реальна загроза витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за умови підтвердження відповідними інструментально-розрахунковими методами невідповідності впроваджених заходів вимогам та нормам з ТЗІ;

реальна загроза порушення конфіденційності, цілісності та доступності інформації - наявність несанкціонованого поширення інформації з обмеженим доступом за межі контрольованої зони об'єкта інформаційної діяльності та/або можливості несанкціонованого спеціального впливу на державні інформаційні ресурси чи інформацію, вимогу щодо захисту якої встановлено законом, за умови підтвердження відповідними інструментально-розрахунковими методами невідповідності впроваджених заходів вимогам та нормам з ТЗІ;

технічний канал витоку інформації - сукупність носія інформації, середовища її поширення та засобу технічної розвідки.

Інші терміни вживаються в значеннях, наведених у Законах України "Про державну таємницю", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України" та Положенні про технічний захист інформації в Україні, затвердженому Указом Президента України від 27 вересня 1999 року № 1229.

5. Контроль за станом ТЗІ передбачає перевірку виконання вимог нормативно-правових актів і нормативно-технічних документів з ТЗІ з метою визначення стану ТЗІ в органах, щодо яких здійснюється ТЗІ, виявлення порушень із ТЗІ та запобігання їм.

6. Контроль за станом ТЗІ ВТЗІ ДПРСД МВС здійснює шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ, що включає планування та проведення перевірок стану ТЗІ в органах, щодо яких здійснюється ТЗІ (далі - перевірка), аналіз їх результатів та надання рекомендацій щодо усунення недоліків у разі їх виявлення, удосконалення стану ТЗІ для запобігання виникненню таких недоліків.

7. За результатами контрольно-інспекторської роботи з питань ТЗІ проводяться аналіз та узагальнення стану ТЗІ в органах, щодо яких здійснюється ТЗІ.

Аналітичні матеріали про стан ТЗІ в органах, щодо яких здійснюється ТЗІ, подаються державному секретарю МВС.

8. Організація заходів із ТЗІ в органах, щодо яких здійснюється ТЗІ, покладається на їх керівників.

9. Виконання заходів із ТЗІ покладається на підрозділ, який визначається письмовим наказом керівника органу, щодо якого здійснюється ТЗІ.

1. Перевірки стану ТЗІ поділяються на комплексні, цільові (тематичні) й контрольні та можуть бути плановими і позаплановими.

2. Під час комплексної перевірки визначається відповідність комплексу ТЗІ (комплексної системи захисту інформації) вимогам нормативно-правових актів та нормативно-технічних документів системи ТЗІ.

3. Під час цільової (тематичної) перевірки перевіряються окремі складові комплексу ТЗІ (комплексної системи захисту інформації) на відповідність упроваджених заходів вимогам нормативно-правових актів та нормативно-технічних документів системи ТЗІ.

4. Під час контрольної перевірки перевіряються повнота й достатність проведених заходів щодо усунення недоліків, виявлених під час проведення попередньої комплексної або цільової перевірки. Контрольні перевірки проводяться після отримання письмового повідомлення про усунення недоліків.

5. Планові перевірки здійснюються згідно з планом основних організаційних і практичних заходів ДПРСД МВС, який затверджує державний секретар Міністерства внутрішніх справ України.

6. Позапланові перевірки проводяться в разі наявності відомостей щодо порушення виконання вимог нормативно-правових актів з питань ТЗІ або в разі виникнення потреби у визначенні повноти та достатності заходів із ТЗІ, ужитих органами, щодо яких здійснюється ТЗІ. Позапланові перевірки можуть проводитися з попередженням або без попередження.

7. Органи, щодо яких здійснюється ТЗІ, повідомляються про проведення перевірки не менше ніж за десять календарних діб до її початку (за винятком проведення позапланової перевірки).

8. Перевірки стану ТЗІ здійснюють посадові особи ВТЗІ ДПРСД МВС, на який покладено виконання завдань із здійснення контролю за станом ТЗІ.

9. Підставою для допуску посадових осіб ВТЗІ ДПРСД МВС до перевірки стану ТЗІ та надання документів, потрібних для її проведення (у тому числі з обмеженим доступом), є наявність припису на проведення перевірки відповідно до додатка 1 до цього Положення за підписом державного секретаря МВС.

Перевірки стану ТЗІ у структурних підрозділах апарату МВС проводяться на підставі відповідного розпорядчого документа за підписом державного секретаря МВС без оформлення припису.

1. Посадові особи ВТЗІ ДПРСД МВС, що здійснюють перевірку стану ТЗІ, мають право:

1) доступу на об'єкти інформаційної діяльності органів, щодо яких здійснюється ТЗІ, для здійснення контролю за станом ТЗІ, а також до інших приміщень (на територію, у споруди, будівлі, кабінети) для вивчення питань, безпосередньо пов'язаних із перевіркою;

2) ознайомлюватися з будь-якими документами, потрібними для перевірки;

3) отримувати копії потрібних для перевірки документів, письмові пояснення посадових осіб (довідки, рапорти) з питань, що виникають під час перевірки;

4) надавати за результатами перевірок рекомендації щодо приведення стану ТЗІ у відповідність до вимог чинного законодавства.

2. Посадові особи ВТЗІ ДПРСД МВС у разі встановлення фактів порушень норм і вимог з ТЗІ першої або другої категорії мають право порушувати питання про припинення інформаційної діяльності на об'єктах інформаційної діяльності органів, щодо яких здійснюється ТЗІ, призупинення дії актів атестації комплексів ТЗІ та атестатів відповідності комплексної системи захисту інформації в автоматизованих системах, про що до Адміністрації Держспецзв'язку надсилається лист (повідомлення).

У цьому разі керівник органу, щодо якого здійснюється ТЗІ, негайно видає письмовий наказ про припинення обробки інформації, вимогу щодо захисту якої встановлено законом, або державних інформаційних ресурсів на об'єктах інформаційної діяльності (у тому числі на об'єктах електронно-обчислювальної техніки), де було виявлено порушення.

Дозвіл на відновлення обробки інформації на об'єктах інформаційної діяльності (у тому числі на об'єктах електронно-обчислювальної техніки), де було виявлено порушення норм і вимог з ТЗІ першої або другої категорії, надає керівник органу, щодо якого здійснюється ТЗІ, за погодженням із Адміністрацією Держспецзв'язку після усунення виявлених порушень.

3. Посадові особи ВТЗІ ДПРСД МВС інформують керівників органів, щодо яких здійснюється ТЗІ, про факти невиконання чи порушення посадовими особами органів, щодо яких здійснюється ТЗІ, вимог нормативно-правових актів і нормативно-технічних документів з питань технічного захисту інформації, вимогу щодо захисту якої встановлено законом.