Відповідно до пункту 47 частини першої статті 14 Закону України "Про Державну службу спеціального зв’язку та захисту інформації України", підпункту 24 пункту 4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та з метою вдосконалення порядку видачі дозволів на проведення робіт з технічного захисту інформації для власних потреб НАКАЗУЮ:

1. Затвердити Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб, що додається.

2. Визнати таким, що втратив чинність, наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 23 лютого 2002 року № 9 "Про затвердження Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб", зареєстрований в Міністерстві юстиції України 13 березня 2002 року за № 245/6533.

3. Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

5. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв’язку та захисту інформації України відповідно до розподілу обов’язків.

1. Це Положення встановлює умови проведення та види робіт з технічного захисту інформації (далі - ТЗІ) для власних потреб, порядок видачі Адміністрацією Держспецзв’язку дозволів на проведення робіт з ТЗІ для власних потреб (далі - дозвіл), порядок контролю за додержанням умов проведення робіт із ТЗІ для власних потреб.

2. Вимоги цього Положення поширюються на державні органи, які проводять роботи з ТЗІ для власних потреб за переліком, визначеним пунктом 4 цього розділу.

3. У цьому Положенні терміни вживаються в такому значенні:

атестація комплексу ТЗІ - оцінка відповідності комплексу ТЗІ вимогам нормативних документів у сфері ТЗІ;

державний орган, який має дозвіл - державний орган, який отримав дозвіл на проведення робіт з ТЗІ для власних потреб відповідно до цього Положення;

дозвільна справа - єдиний набір документів стосовно відповідного здобувача дозволу чи державного органу, який має дозвіл, наданих державними органами до Адміністрації Держспецзв’язку чи прийнятих Адміністрацією Держспецзв’язку в результаті реалізації своїх повноважень відповідно до цього Положення;

закладний пристрій - технічний засіб негласного отримання інформації, розміщений на об’єкті інформаційної діяльності з приховуванням від виявлення особою, яка не має відношення до застосування технічного засобу, факту його наявності та/або застосування, внаслідок чого створюється загроза витоку інформації з об’єкта інформаційної діяльності;

здобувач дозволу - державний орган, який у встановленому Адміністрацією Держспецзв’язку порядку звернувся до Адміністрації Держспецзв’язку із заявою про отримання дозволу на проведення робіт з ТЗІ для власних потреб;

комплекс ТЗІ - сукупність заходів та засобів, призначених для реалізації ТЗІ в інформаційній системі або на об’єкті;

оцінювання захищеності інформації - організація та проведення експертних робіт та/або експертних випробувань з метою перевірки, аналізу та оцінки об’єктів експертизи щодо їх відповідності вимогам нормативних документів у сфері ТЗІ;

припис про усунення порушень - обов’язкова для виконання письмова вимога посадових осіб Держспецзв’язку керівнику суб’єкта перевірки щодо усунення виявлених порушень у визначені строки;

роботи з виявлення закладних пристроїв - проведення пошукових дій щодо виявлення технічних каналів витоку інформації, що утворюються за рахунок використання закладних пристроїв.

Інші терміни, використані в цьому Положенні, вживаються у значеннях, наведених у Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про Державну службу спеціального зв’язку та захисту інформації України", "Про електронні комунікації", Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженому постановою Кабінету Міністрів України від 18 грудня 2013 року № 939.

4. Види робіт з ТЗІ, які виконуються за дозволом:

1) оцінювання захищеності інформації, що не становить державної таємниці;

2) оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю;

3) виявлення закладних пристроїв.

1. Для отримання дозволу державний орган повинен мати:

нормативно-правову базу (нормативно-правові акти, нормативні документи у сфері ТЗІ та внутрішні документи), що забезпечує проведення відповідного виду робіт з ТЗІ;

власні (або орендовані) повірені в установленому порядку засоби вимірювальної техніки та контролю і обладнання, які необхідні для проведення робіт з ТЗІ для власних потреб, перелік яких визначено в додатку 1 до цього Положення та/або зазначених у загальнодержавних або погоджених з Адміністрацією Держспецзв’язку методиках проведення робіт з ТЗІ;

інформаційну (автоматизовану) систему з комплексною системою захисту інформації з підтвердженою відповідністю (у разі отримання дозволу з виявлення закладних пристроїв - за потреби);

об’єкт інформаційної діяльності для проведення секретних нарад, обговорень і робіт з ТЗІ зі створеним та атестованим комплексом ТЗІ (за потреби);

спеціальний дозвіл на провадження діяльності, пов’язаної з державною таємницею. Категорія режиму секретності в спеціальному дозволі повинна відповідати ступеню секретності відомостей, використання яких передбачено за обраними видами робіт (обов’язково - у разі отримання дозволу на проведення робіт з ТЗІ з оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю);

спеціалістів, кількісний склад та освіта яких забезпечує проведення відповідного виду робіт (у разі отримання дозволу з оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю, у спеціалістів, які залучаються (залучення яких передбачено) до проведення робіт з ТЗІ, що становить державну таємницю, мають бути оформлені допуски до державної таємниці. Форма допуску повинна відповідати ступеню секретності відомостей, до яких такі спеціалісти допускаються (передбачено їх допуск);

розроблену з урахуванням наявних засобів вимірювальної техніки, контролю і обладнання та погоджену з Адміністрацією Держспецзв’язку методику виявлення закладних пристроїв (у разі отримання дозволу з виявлення закладних пристроїв).

2. Провадження діяльності у галузі ТЗІ, що становить державну таємницю, здійснюється в межах строку дії спеціального дозволу на провадження діяльності, пов’язаної з державною таємницею, та за наявності у спеціалістів, що залучаються до провадження такої діяльності, відповідних допусків до державної таємниці.

3. Для проведення робіт з оцінювання захищеності інформації, що не становить державної таємниці, державний орган повинен мати спеціаліста (спеціалістів) з вищою освітою за спеціальністю "Кібербезпека та захист інформації" або вищою інженерно-технічною освітою фахового спрямування відповідно до обраного виду робіт з додатковою підготовкою на курсах підвищення кваліфікації фахівців з питань ТЗІ за напрямами підготовки відповідно до обраного виду робіт або стажем роботи у галузі ТЗІ, виконання якої передбачало захист інформації від несанкціонованих дій в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі - ІКС), організацію та/або виконання експертних випробувань (робіт) з технічного захисту інформації, не менше як три роки.

4. Для проведення робіт з оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю, державний орган повинен мати:

спеціалістів з вищою освітою за спеціальністю "Кібербезпека та захист інформації" або вищою інженерно-технічною освітою фахового спрямування відповідно до обраного виду робіт з додатковою підготовкою на курсах підвищення кваліфікації фахівців з питань ТЗІ за напрямами підготовки відповідно до обраного виду робіт чи стажем роботи у галузі ТЗІ, виконання якої передбачало захист інформації, носіями якої є акустичні або електромагнітні поля та електричні сигнали, не менше як три роки;

спеціаліста (спеціалістів), що відповідає вимогам, визначеним пунктом 3 цього розділу.

5. Для проведення робіт з виявлення закладних пристроїв державний орган повинен мати спеціалістів з вищою освітою за спеціальністю "Кібербезпека та захист інформації" або вищою інженерно-технічною освітою фахового спрямування відповідно до обраного виду робіт з додатковою підготовкою на курсах підвищення кваліфікації фахівців з питань ТЗІ за напрямами підготовки відповідно до обраного виду робіт чи стажем роботи у галузі ТЗІ, виконання якої передбачало захист інформації, носіями якої є акустичні або електромагнітні поля та електричні сигнали, та/або виявлення закладних пристроїв, не менше як три роки.

6. До стажу роботи у галузі ТЗІ зараховується стаж роботи та/або служби на посадах у суб’єктів системи ТЗІ, посадові обов’язки за якими передбачають виконання завдань з ТЗІ, пов’язаних з обраними видами робіт.

7. Державний орган під час проведення робіт з ТЗІ повинен дотримуватися вимог нормативно-правових актів і нормативних документів системи ТЗІ, що регламентують проведення обраних видів робіт.

8. Державний орган зобов’язаний:

повідомляти Адміністрацію Держспецзв’язку про зміну даних, які зазначені в документах, що додавалися до заяви про видачу (переоформлення) дозволу для проведення робіт з ТЗІ для власних потреб, у строк не пізніше ніж один місяць з дня настання таких змін;

терміново поінформувати Службу безпеки України про виявлення закладних пристроїв (не пізніше наступного дня після виявлення);

повідомити Адміністрацію Держспецзв’язку про запроваджені заходи стосовно виявлених закладних пристроїв (із зазначенням коли і в який спосіб поінформовано Службу безпеки України, коли нейтралізовано, відповідні канали витоку інформації);

щорічно до 10 січня надавати до Адміністрації Держспецзв’язку відомості про роботи з ТЗІ для власних потреб протягом попереднього року за формою згідно з додатком 2 до цього Положення.

1. Для одержання дозволу державний орган подає до Адміністрації Держспецзв’язку заяву про видачу дозволу за формою згідно з додатком 3 до цього Положення.

2. До заяви про видачу дозволу за підписом керівника або заступника керівника суб’єкта перевірки, відповідального за організацію ТЗІ, подаються підтвердні документи згідно з додатками 4-9 до цього Положення.

3. Адміністрація Держспецзв’язку розглядає подану заяву з метою встановлення відсутності або наявності підстав для відмови у видачі дозволу шляхом аналізу підтвердних документів, одержання інформації з державних паперових та електронних інформаційних ресурсів та у разі отримання дозволу з оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю, проведення перевірки умов, створених для проведення робіт з ТЗІ, і за результатом їх розгляду приймає рішення про видачу дозволу або відмову у видачі дозволу.

4. Підставою для прийняття рішення про відмову у видачі дозволу є:

1) подання не в повному обсязі документів, що додаються до заяви про видачу дозволу;

2) встановлення невідповідності здобувача дозволу умовам, які визначені цим Положенням;

3) виявлення недостовірності даних у підтвердних документах, поданих здобувачем дозволу, які впливають на проведення робіт за дозволом.

5. Після усунення причин, що стали підставою для прийняття рішення про відмову у видачі дозволу, здобувач дозволу може повторно подати заяву про видачу дозволу.

6. Для перевірки відомостей, що містяться у поданих матеріалах, створених умов для проведення робіт з ТЗІ у частині оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю, наказом Адміністрації Держспецзв’язку створюється комісія з перевірки умов проведення робіт з ТЗІ для власних потреб та оформлюється припис на право проведення перевірки умов проведення робіт з ТЗІ для власних потреб за формою згідно з додатком 10 до цього Положення за підписом Голови Держспецзв’язку або заступника Голови Держспецзв’язку відповідно до розподілу обов’язків.

7. Для проведення перевірки голова комісії пред’являє керівнику або заступнику керівника суб’єкта перевірки, відповідального за організацію ТЗІ, припис на право проведення перевірки умов проведення робіт з ТЗІ.

За результатами перевірки комісія складає акт перевірки умов проведення робіт з ТЗІ для власних потреб за формою згідно з додатком 11, який надається керівнику або заступнику керівника суб’єкта перевірки, відповідального за організацію ТЗІ, для ознайомлення.

8. Рішення про видачу дозволу або про відмову в його видачі приймається у тридцятиденний строк з дня одержання Адміністрацією Держспецзв’язку заяви про видачу дозволу.

9. Видача дозволів здійснюється безоплатно.

10. Дозвіл видається на необмежений строк.

11. Дозвіл може бути призупинений повністю або частково.

12. Підставою для прийняття Адміністрацією Держспецзв’язку рішення про призупинення дії дозволу повністю або частково є:

1) заява державного органу, який має дозвіл, про призупинення власного дозволу повністю або частково. Не є підставою для призупинення дії дозволу заява державного органу, який має дозвіл, про призупинення власного дозволу повністю або частково, подана після видання Адміністрацією Держспецзв’язку розпорядчого документа про проведення перевірки додержання державним органом, який має дозвіл, умов, визначених цим Положенням, і до закінчення строку:

перевірки та усунення порушень умов, визначених цим Положенням (у разі їх наявності);

протягом тридцяти робочих днів після закінчення строку виконання державним органом, який має дозвіл, розпорядження про усунення порушень умов, визначених цим Положенням (крім випадку видання протягом цього строку Адміністрацією Держспецзв’язку розпорядчого документа про проведення позапланової перевірки виконання державним органом, який має дозвіл, припису про усунення порушень вимог дозвільного порядку проведення робіт з ТЗІ для власних потреб (далі - припис про усунення порушень));

2) виявлення недостовірності даних у документах, поданих державним органом разом із заявою про видачу дозволу, що зазначається в акті перевірки;

3) акт про невиконання припису про усунення порушень;

4) недопуск комісії до об’єктів, документів та інформації про діяльність суб’єкта перевірки, які необхідні для роботи комісії, за умови дотримання комісією вимог цього Положення.

13. Рішення про призупинення дії дозволу повністю або частково приймає Голова Держспецзв’язку або заступник Голови Держспецзв’язку відповідно до розподілу обов’язків за пропозицією структурного підрозділу Адміністрації Держспецзв’язку, на який покладено завдання забезпечення встановлення Адміністрацією Держспецзв’язку дозвільного порядку проведення робіт з ТЗІ для власних потреб.

14. Адміністрація Держспецзв’язку в установленому порядку інформує державний орган, який має дозвіл, щодо рішення про призупинення дії дозволу повністю або частково.

15. Дія дозволу поновлюється повністю або частково в разі надання державним органом, який має дозвіл, Адміністрації Держспецзв’язку заяви та відомостей про усунення підстав, що стали причиною для призупинення дії дозволу повністю або частково.

16. Адміністрація Держспецзв’язку протягом тридцяти календарних днів з дня отримання заяви приймає рішення про поновлення дії дозволу повністю або частково.

17. Рішення Адміністрації Держспецзв’язку оформлюються організаційно-розпорядчим актом Адміністрації Держспецзв’язку.

1. Контроль за проведенням робіт з ТЗІ здійснюється з метою перевірки виконання державними органами, які мають дозвіл, вимог нормативних документів системи ТЗІ та вимог цього Положення.

2. Для проведення перевірки наказом Адміністрації Держспецзв’язку створюється комісія.

Адміністрація Держспецзв’язку попереджає суб’єкта перевірки про проведення перевірки листом не менше ніж за десять робочих днів до її початку із зазначенням підстав для проведення перевірки та складу комісії.

3. Планові перевірки проводяться не частіше одного разу на п’ять років згідно з річним планом перевірок проведення державними органами робіт з ТЗІ для власних потреб, який розробляє структурний підрозділ Адміністрації Держспецзв’язку, на якого покладено завдання щодо забезпечення встановлення Адміністрацією Держспецзв’язку дозвільного порядку проведення робіт з ТЗІ для власних потреб, та подає на затвердження Голові Держспецзв’язку до 10 грудня кожного року.

4. Позапланові перевірки проведення державними органами робіт з ТЗІ для власних потреб проводяться на підставах: