Відповідно до Законів України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229, підпункту 4 пункту 5 Положення про Національну поліцію, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2015 року № 877, з метою приведення нормативно-правового акта Міністерства внутрішніх справ України з питань діяльності поліції у відповідність до законодавства НАКАЗУЮ:

1. Затвердити Зміни до Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України, затвердженого наказом Міністерства внутрішніх справ України від 29 лютого 2016 року № 139, зареєстрованого в Міністерстві юстиції України 23 березня 2016 року за № 431/28561, що додаються.

2. Департаменту взаємодії з Національною поліцією України Міністерства внутрішніх справ України (Грінцов М.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

1. У розділі І:

1) пункт 1 викласти в такій редакції:

"1. Це Положення визначає порядок організації та здійснення Національною поліцією України контролю за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом (далі — контроль за станом технічного захисту інформації), у структурних підрозділах центрального органу управління поліції, територіальних (у тому числі міжрегіональних) органах поліції та їх територіальних (відокремлених) підрозділах, а також в установах, закладах та організаціях, що належать до сфери управління Національної поліції України (далі — суб’єкти перевірки)";

2) пункт 2 викласти в такій редакції:

"2. Контроль за станом технічного захисту інформації в суб’єктах перевірки здійснюється Департаментом режиму та технічного захисту інформації Національної поліції України (далі — ДРТЗІ)";

3) пункт 3 викласти в такій редакції:

"3. У цьому Положенні терміни вживаються в такому значенні:

висновок перевірки — результат оцінки стану захисту інформації, повноти та достатності заходів щодо захисту інформації та їх відповідності вимогам нормативно-правових актів і нормативних документів у сфері технічного захисту інформації (далі — ТЗІ);

внутрішній контроль за станом технічного захисту інформації — заходи з контролю, що проводяться територіальними (у тому числі міжрегіональними) органами поліції в підпорядкованих підрозділах з метою отримання інформації про стан ТЗІ;

контрольована зона — територія (простір) навколо об’єкта інформаційної діяльності, на якій (у межах якої) виключено несанкціоноване розташування технічних і транспортних засобів та неконтрольоване перебування сторонніх осіб;

контрольно-інспекторська робота з питань ТЗІ — діяльність щодо визначення та вдосконалення стану ТЗІ суб’єктів перевірки;

об’єкт інформаційної діяльності (далі — ОІД) — інженерно-технічна споруда (будівля, приміщення тощо), відокремлена територія (зона), транспортний засіб, намет, де провадиться діяльність, пов’язана з державними інформаційними ресурсами та інформацією, вимога щодо захисту якої встановлена законом;

передумови до реалізації загрози для інформації — обставини (недостатність упроваджених заходів із захисту інформації, людський фактор), унаслідок яких можливе виникнення загроз для інформації, вимога щодо захисту якої встановлена законом, стосовно порушення її конфіденційності, цілісності й доступності;

перешкоджання проведенню перевірки — відмова керівника або уповноважених представників суб’єкта перевірки у провадженні діяльності посадовими особами, які проводять перевірку, у наданні доступу до об’єкта (об’єктів) перевірки, повної та достовірної інформації, документів щодо предмета перевірки, а також невиконання інших обов’язків, визначених цим Положенням;

порушення у сфері ТЗІ — невиконання вимог нормативно-правових актів і нормативних документів у сфері ТЗІ за категоріями, які визначають імовірну можливість та/або факт реалізації загроз для інформації;

реальна загроза для інформації — недостатність упроваджених заходів із захисту інформації, унаслідок чого створено загрози для інформації, вимога щодо захисту якої встановлена законом, стосовно порушення її конфіденційності, цілісності й доступності;

технічний канал витоку інформації — взаємопов’язана сукупність джерела небезпечного сигналу, середовища його поширення та засобу технічної розвідки, спрямована на несанкціоноване зняття (перехоплення) інформації.

Інші терміни в цьому Положенні вживаються у значеннях, наведених у Законах України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", "Про інформацію", "Про Державну службу спеціального зв’язку та захисту інформації України"";

4) пункт 6 викласти в такій редакції:

"6. Внутрішній контроль за станом ТЗІ в суб’єктах перевірки виконується відповідними підрозділами, на які письмовим наказом керівника територіального (у тому числі міжрегіонального) органу поліції покладено забезпечення ТЗІ в цих органах (далі — підрозділи ТЗІ), на підставі організаційно-розпорядчих документів, розроблених суб’єктами перевірки та погоджених із ДРТЗІ";

5) у пункті 7 слова "та контроль заходів з ТЗІ в органах, щодо яких здійснюється ТЗІ," замінити словами "внутрішнього контролю за станом ТЗІ в територіальних (у тому числі міжрегіональних) органах поліції";

6) в абзаці другому пункту 9 слова "в органах, щодо яких здійснюється ТЗІ, доповідаються Голові НПУ" замінити словами "в суб’єктах перевірки доповідаються Голові Національної поліції України";

2. У розділі II:

1) пункт 2 викласти в такій редакції:

"2. У ході комплексної перевірки визначається відповідність упроваджених заходів із ТЗІ в інформаційно-комунікаційних системах (далі — ІКС), а також на ОІД, де передбачено обробку мовної інформації, що становить державну таємницю, вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ";

2) пункт 3 викласти в такій редакції:

"3. Під час цільової (тематичної) перевірки перевіряються окремі питання щодо впроваджених заходів із ТЗІ в окремих ІКС та/або на ОІД на відповідність вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ";

3) у пункті 5 слова "який затверджується начальником УРТЗІ НПУ" виключити;

4) у пункті 7 слова "Керівництво органів, щодо яких здійснюється ТЗІ, повідомляється про проведення перевірки не менше ніж" замінити словами "Керівництву суб’єктів перевірки повідомляється про проведення перевірки не пізніше ніж";