Про затвердження Положення про контроль за станом технічного захисту інформації в апараті МВС, територіальних органах з надання сервісних послуг МВС, закладах, установах і на підприємствах, що належать до сфери управління МВС

Відповідно до статті 37 Закону України "Про державну таємницю", пункту 12 Положення про технічний захист інформації в Україні , затвердженого Указом Президента України від 27 вересня 1999 року № 1229, підпункту 7 пункту 5 Положення про Міністерство внутрішніх справ України , затвердженого постановою Кабінету Міністрів України від 28 жовтня 2015 року № 878, з метою контролю за станом технічного захисту інформації в апараті МВС, територіальних органах з надання сервісних послуг МВС, закладах, установах і на підприємствах, що належать до сфери управління МВС,

1. Затвердити Положення про контроль за станом технічного захисту інформації в апараті МВС, територіальних органах з надання сервісних послуг МВС, закладах, установах і на підприємствах, що належать до сфери управління МВС, що додається.

2. Департаменту з питань режиму та службової діяльності Міністерства внутрішніх справ України (Терещенко Ю.В.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

1. Це Положення визначає порядок організації та здійснення контролю за станом технічного захисту державних інформаційних ресурсів та інформації, вимогу щодо захисту якої встановлено законом.

2. Контроль за станом технічного захисту інформації (далі - ТЗІ) здійснює відділ технічного захисту інформації Департаменту з питань режиму та службової діяльності Міністерства внутрішніх справ України (далі - ВТЗІ ДПРСД МВС).

3. Контроль за станом ТЗІ здійснюється у структурних підрозділах апарату МВС, територіальних органах з надання сервісних послуг МВС, закладах, установах і на підприємствах, що належать до сфери управління МВС (далі - органи, щодо яких здійснюється ТЗІ).

4. Терміни, використані в цьому Положенні, уживаються в таких значеннях:

контрольно-інспекторська робота з питань ТЗІ - діяльність, спрямована на визначення та вдосконалення стану ТЗІ в органах, щодо яких здійснюється ТЗІ;

передумови витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за відсутності підтвердженої відповідності впроваджених заходів вимогам та нормам з ТЗІ;

порушення у сфері ТЗІ - невиконання вимог нормативно-правових актів та нормативно-технічних документів системи ТЗІ за категоріями, які визначають можливість реалізації загроз безпеці інформації;

реальна загроза витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за умови підтвердження відповідними інструментально-розрахунковими методами невідповідності впроваджених заходів вимогам та нормам з ТЗІ;

реальна загроза порушення конфіденційності, цілісності та доступності інформації - наявність несанкціонованого поширення інформації з обмеженим доступом за межі контрольованої зони об'єкта інформаційної діяльності та/або можливості несанкціонованого спеціального впливу на державні інформаційні ресурси чи інформацію, вимогу щодо захисту якої встановлено законом, за умови підтвердження відповідними інструментально-розрахунковими методами невідповідності впроваджених заходів вимогам та нормам з ТЗІ;

технічний канал витоку інформації - сукупність носія інформації, середовища її поширення та засобу технічної розвідки.

Інші терміни вживаються в значеннях, наведених у Законах України "Про державну таємницю", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України" та Положенні про технічний захист інформації в Україні, затвердженому Указом Президента України від 27 вересня 1999 року № 1229.

5. Контроль за станом ТЗІ передбачає перевірку виконання вимог нормативно-правових актів і нормативно-технічних документів з ТЗІ з метою визначення стану ТЗІ в органах, щодо яких здійснюється ТЗІ, виявлення порушень із ТЗІ та запобігання їм.

6. Контроль за станом ТЗІ ВТЗІ ДПРСД МВС здійснює шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ, що включає планування та проведення перевірок стану ТЗІ в органах, щодо яких здійснюється ТЗІ (далі - перевірка), аналіз їх результатів та надання рекомендацій щодо усунення недоліків у разі їх виявлення, удосконалення стану ТЗІ для запобігання виникненню таких недоліків.

7. За результатами контрольно-інспекторської роботи з питань ТЗІ проводяться аналіз та узагальнення стану ТЗІ в органах, щодо яких здійснюється ТЗІ.

Аналітичні матеріали про стан ТЗІ в органах, щодо яких здійснюється ТЗІ, подаються державному секретарю МВС.

8. Організація заходів із ТЗІ в органах, щодо яких здійснюється ТЗІ, покладається на їх керівників.

9. Виконання заходів із ТЗІ покладається на підрозділ, який визначається письмовим наказом керівника органу, щодо якого здійснюється ТЗІ.

1. Перевірки стану ТЗІ поділяються на комплексні, цільові (тематичні) й контрольні та можуть бути плановими і позаплановими.

2. Під час комплексної перевірки визначається відповідність комплексу ТЗІ (комплексної системи захисту інформації) вимогам нормативно-правових актів та нормативно-технічних документів системи ТЗІ.

3. Під час цільової (тематичної) перевірки перевіряються окремі складові комплексу ТЗІ (комплексної системи захисту інформації) на відповідність упроваджених заходів вимогам нормативно-правових актів та нормативно-технічних документів системи ТЗІ.

4. Під час контрольної перевірки перевіряються повнота й достатність проведених заходів щодо усунення недоліків, виявлених під час проведення попередньої комплексної або цільової перевірки. Контрольні перевірки проводяться після отримання письмового повідомлення про усунення недоліків.

5. Планові перевірки здійснюються згідно з планом основних організаційних і практичних заходів ДПРСД МВС, який затверджує державний секретар Міністерства внутрішніх справ України.

6. Позапланові перевірки проводяться в разі наявності відомостей щодо порушення виконання вимог нормативно-правових актів з питань ТЗІ або в разі виникнення потреби у визначенні повноти та достатності заходів із ТЗІ, ужитих органами, щодо яких здійснюється ТЗІ. Позапланові перевірки можуть проводитися з попередженням або без попередження.

7. Органи, щодо яких здійснюється ТЗІ, повідомляються про проведення перевірки не менше ніж за десять календарних діб до її початку (за винятком проведення позапланової перевірки).

8. Перевірки стану ТЗІ здійснюють посадові особи ВТЗІ ДПРСД МВС, на який покладено виконання завдань із здійснення контролю за станом ТЗІ.

9. Підставою для допуску посадових осіб ВТЗІ ДПРСД МВС до перевірки стану ТЗІ та надання документів, потрібних для її проведення (у тому числі з обмеженим доступом), є наявність припису на проведення перевірки відповідно до додатка 1 до цього Положення за підписом державного секретаря МВС.

Перевірки стану ТЗІ у структурних підрозділах апарату МВС проводяться на підставі відповідного розпорядчого документа за підписом державного секретаря МВС без оформлення припису.

1. Посадові особи ВТЗІ ДПРСД МВС, що здійснюють перевірку стану ТЗІ, мають право:

1) доступу на об'єкти інформаційної діяльності органів, щодо яких здійснюється ТЗІ, для здійснення контролю за станом ТЗІ, а також до інших приміщень (на територію, у споруди, будівлі, кабінети) для вивчення питань, безпосередньо пов'язаних із перевіркою;

2) ознайомлюватися з будь-якими документами, потрібними для перевірки;

3) отримувати копії потрібних для перевірки документів, письмові пояснення посадових осіб (довідки, рапорти) з питань, що виникають під час перевірки;

4) надавати за результатами перевірок рекомендації щодо приведення стану ТЗІ у відповідність до вимог чинного законодавства.

2. Посадові особи ВТЗІ ДПРСД МВС у разі встановлення фактів порушень норм і вимог з ТЗІ першої або другої категорії мають право порушувати питання про припинення інформаційної діяльності на об'єктах інформаційної діяльності органів, щодо яких здійснюється ТЗІ, призупинення дії актів атестації комплексів ТЗІ та атестатів відповідності комплексної системи захисту інформації в автоматизованих системах, про що до Адміністрації Держспецзв'язку надсилається лист (повідомлення).

У цьому разі керівник органу, щодо якого здійснюється ТЗІ, негайно видає письмовий наказ про припинення обробки інформації, вимогу щодо захисту якої встановлено законом, або державних інформаційних ресурсів на об'єктах інформаційної діяльності (у тому числі на об'єктах електронно-обчислювальної техніки), де було виявлено порушення.

Дозвіл на відновлення обробки інформації на об'єктах інформаційної діяльності (у тому числі на об'єктах електронно-обчислювальної техніки), де було виявлено порушення норм і вимог з ТЗІ першої або другої категорії, надає керівник органу, щодо якого здійснюється ТЗІ, за погодженням із Адміністрацією Держспецзв'язку після усунення виявлених порушень.

3. Посадові особи ВТЗІ ДПРСД МВС інформують керівників органів, щодо яких здійснюється ТЗІ, про факти невиконання чи порушення посадовими особами органів, щодо яких здійснюється ТЗІ, вимог нормативно-правових актів і нормативно-технічних документів з питань технічного захисту інформації, вимогу щодо захисту якої встановлено законом.

1. Для проведення перевірки стану ТЗІ посадові особи ВТЗІ ДПРСД МВС пред'являють керівникові органу, щодо якого здійснюється ТЗІ, або особі, яка виконує його обов'язки, припис на проведення перевірки та службові посвідчення, а також інші документи відповідно до законодавства про державну таємницю.

2. Під час проведення перевірки стану ТЗІ контролю підлягають питання повноти та достатності впроваджених на об'єктах інформаційної діяльності заходів із ТЗІ, їх відповідності вимогам нормативно-правових актів та виконання рекомендацій щодо усунення порушень із ТЗІ.

3. Посадові особи органів, щодо яких здійснюється ТЗІ, під час перевірки зобов'язані надавати всі потрібні для проведення перевірки документи і матеріали та забезпечувати умови для її проведення.

4. За результатами перевірки посадові особи ВТЗІ ДПРСД МВС складають відповідний акт про результати перевірки стану ТЗІ.

5. Акт комплексної перевірки стану технічного захисту інформації складається за формою згідно з додатком 2 до цього Положення. Акти контрольних та цільових (тематичних) перевірок складаються у довільній формі. Акти перевірок готуються у двох примірниках. Перший примірник акта перевірки надається органу, щодо якого здійснюється ТЗІ, другий - ДПРСД МВС.

6. Обидва примірники акта перевірки підписують посадові особи ВТЗІ ДПРСД МВС, які проводили перевірку.

7. Керівника органу, щодо якого здійснюється ТЗІ, ознайомлюють із актом перевірки під підпис.

У разі відмови керівника органу, щодо якого здійснюється ТЗІ, засвідчити своїм підписом факт ознайомлення з актом перевірки посадові особи ВТЗІ ДПРСД МВС, що здійснювали перевірку, роблять у цьому акті перевірки відповідний запис.

1. Порушення вимог із ТЗІ поділяються на три категорії:

1) перша категорія - невиконання вимог нормативно-правових актів та нормативних документів із ТЗІ, унаслідок чого створюється реальна загроза порушення конфіденційності, зокрема за рахунок витоку (просочення) технічними каналами, та (або) цілісності й доступності інформації;

2) друга категорія - невиконання вимог нормативно-правових актів та нормативних документів із ТЗІ, унаслідок чого створюються передумови для порушення конфіденційності, зокрема за рахунок витоку (просочення) технічними каналами, та (або) цілісності й доступності інформації;

3) третя категорія - невиконання інших вимог із ТЗІ.

2. Кваліфікаційні ознаки порушень ТЗІ:

1) першої категорії:

установлення факту циркуляції інформації з обмеженим доступом, вимогу щодо захисту якої встановлено законом, на об'єктах інформаційної діяльності, в інформаційних або інформаційно-телекомунікаційних системах за умови підтвердження інструментально-розрахунковими методами наявності технічного каналу витоку інформації;

установлення факту обробки інформації з обмеженим доступом, вимогу щодо захисту якої встановлено законом, в інформаційних, телекомунікаційних або інформаційно-телекомунікаційних системах, які мають вихід незахищеними каналами зв'язку за межі контрольованої зони, за умови відсутності атестата відповідності на комплексну систему захисту інформації;

установлення факту обробки інформації з обмеженим доступом, вимогу щодо захисту якої встановлено законом, в інформаційних або інформаційно-телекомунікаційних системах, які не мають виходу за межі контрольованої зони, за умови доступу до її інформаційних ресурсів користувачів, які мають різні повноваження (права доступу до інформації), та за умови відсутності атестата відповідності на комплексну систему захисту інформації;

установлення факту обробки державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, які мають підключення до телекомунікаційних мереж (у тому числі телекомунікаційних мереж загального користування), за умови відсутності атестата відповідності на комплексну систему захисту інформації;

установлення факту несанкціонованого доступу користувачів інформаційних, телекомунікаційних або інформаційно-телекомунікаційних систем до державних інформаційних ресурсів або інформації з обмеженим доступом, вимогу щодо захисту якої встановлено законом, шляхом порушення встановлених правил розмежування доступу або подолання заходів захисту;

2) другої категорії:

установлення факту циркуляції державних інформаційних ресурсів або інформації, вимогу щодо захисту якої встановлено законом, на об'єктах інформаційної діяльності, в інформаційних або інформаційно-телекомунікаційних системах за умови відсутності підтвердження інструментально-розрахунковими методами відповідності комплексу ТЗІ нормам та вимогам із ТЗІ;

установлення факту обробки державних інформаційних ресурсів або інформації, вимогу щодо захисту якої встановлено законом, в інформаційних або інформаційно-телекомунікаційних системах, які мають вихід за межі контрольованої зони захищеними каналами, за умови відсутності атестата відповідності на комплексну систему захисту інформації;

установлення факту обробки державних інформаційних ресурсів або інформації з обмеженим доступом, вимогу щодо захисту якої встановлено законом, в інформаційних, телекомунікаційних або інформаційно-телекомунікаційних системах, які не мають виходу за межі контрольованої зони, за умови відсутності атестата відповідності на комплексну систему захисту інформації;

сукупність невиконаних організаційних заходів із ТЗІ, що унеможливлює створення та функціонування комплексної системи захисту інформації;

3) третьої категорії:

невиконання вимог нормативно-правових актів щодо впровадження організаційних заходів із ТЗІ, а також інших норм та вимог у сфері захисту інформації, що не призводять до порушень першої або другої категорії.

1. У висновку, що зазначається в акті перевірки (далі - висновок), надається оцінка стану ТЗІ, визначається повнота й достатність заходів з упровадження комплексу ТЗІ (комплексної системи захисту інформації) та їх відповідність вимогам нормативно-правових актів із ТЗІ.

Основним критерієм відповідності стану ТЗІ вимогам нормативних документів та нормативно-правових актів є відсутність порушень із ТЗІ.

2. Висновки перевірок стану ТЗІ та критерії їх надання:

1) стан ТЗІ відповідає вимогам нормативно-правових актів.

Критерієм висновку є відсутність будь-яких порушень норм та вимог із ТЗІ;

2) стан ТЗІ відповідає вимогам нормативно-правових актів, за винятком виявлених недоліків.

Критерієм висновку є наявність хоча б одного з порушень ТЗІ третьої категорії;

3) стан ТЗІ не повною мірою відповідає вимогам нормативно-правових актів, що створює передумови для порушення конфіденційності, цілісності, доступності та (або) витоку технічними каналами інформації, вимогу щодо захисту якої встановлено законом.

Критерієм висновку є наявність хоча б одного з порушень ТЗІ другої категорії;

4) стан ТЗІ не відповідає вимогам нормативно-правових актів, що створює реальну загрозу порушення конфіденційності, цілісності, доступності та (або) витоку технічними каналами інформації, вимогу щодо захисту якої встановлено законом.

Критерієм висновку є наявність хоча б одного з порушень ТЗІ першої категорії.

3. Висновок за результатами контрольної перевірки, крім оцінки стану ТЗІ, має відображати повноту виконання рекомендацій (виконано, не виконано, виконано не в повному обсязі) щодо приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативних документів із ТЗІ, наданих під час проведення попередньої перевірки.

4. У висновку за результатами цільової (тематичної) перевірки має надаватися оцінка стану ТЗІ в окремих напрямах організації роботи та складових комплексу ТЗІ (комплексної системи захисту інформації), що перевірялися.

5. З метою приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативних документів із ТЗІ посадові особи ВТЗІ ДПРСД МВС, що здійснювали перевірку, зазначають в акті перевірки конкретні рекомендації щодо усунення виявлених порушень, виконання яких є обов'язковим для посадових осіб органів, щодо яких здійснюється ТЗІ.

6. З метою з'ясування причин, що призвели до порушень першої категорії, а також притягнення осіб, які їх учинили, до відповідальності посадові особи ВТЗІ ДПРСД МВС, які здійснювали перевірку, ініціюють проведення службових розслідувань (перевірок).

Службові розслідування (перевірки) ініціюються при порушеннях другої категорії в разі встановлення факту циркуляції державних інформаційних ресурсів або інформації, вимогу щодо захисту якої встановлено законом, на об'єктах інформаційної діяльності, в інформаційних або інформаційно-телекомунікаційних системах за умови відсутності підтвердження інструментально-розрахунковими методами відповідності комплексу ТЗІ нормам та вимогам із ТЗІ.

7. З метою приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативних документів із ТЗІ, а також виконання рекомендацій, наданих за результатами перевірки, керівники органів, щодо яких здійснюється ТЗІ, у терміни, визначені в акті перевірки, після отримання зазначеного акта затверджують план усунення недоліків, один примірник якого надсилається до ДПРСД МВС.

8. Повідомлення про усунення недоліків та виконання рекомендацій щодо приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативних документів із ТЗІ надсилається до ДПРСД МВС у строки, зазначені в акті перевірки та плані усунення недоліків.

9. Керівники органів, щодо яких здійснюється ТЗІ, мають право оскаржувати результати перевірок у порядку, визначеному законодавством України.