МІНІСТЕРСТВО УКРАЇНИ З ПИТАНЬ НАДЗВИЧАЙНИХ СИТУАЦІЙ
ТА У СПРАВАХ ЗАХИСТУ НАСЕЛЕННЯ ВІД НАСЛІДКІВ
ЧОРНОБИЛЬСЬКОЇ КАТАСТРОФИ
Н А К А З
| 05.11.2010 N 977 |
Про організаційні засади діяльності підрозділів технічного захисту інформації у структурі МНС
З метою визначення організаційних засад діяльності підрозділів технічного захисту інформації, які призначені для проведення робіт з технічного захисту інформації, порядку проведення такими підрозділами робіт у структурі Міністерства
НАКАЗУЮ:
1. Затвердити Порядок організації діяльності підрозділів технічного захисту інформації у системі МНС (далі - Порядок), що додається.
2. Затвердити Типове положення про підрозділ, який виконує роботи з технічного захисту інформації у системі МНС України, що додається.
3. Керівникам Державного департаменту страхового фонду документації МНС (Степаненко В.Л.), Головних управлінь МНС у Львівській (Дмитровський С.Ю.), Миколаївській (Поступальський М.І.) і Харківській (Одарюк П.В.) областях, Вузла зв'язку та автоматизації МНС (Лобода С.М.) забезпечити:
виконання умов отримання повноважень на проведення робіт з технічного захисту інформації;
дієвий контроль за підготовкою підрозділів ТЗІ до виконання завдань за призначенням.
4. Керівникам урядових органів державного управління, територіальних органів управління МНС, а також підприємств, установ та організацій, що належать до сфери управління МНС, не зазначених у пункті 3 цього наказу, при організації робіт з технічного захисту інформації керуватися розділами V та VII Порядку.
5. Управлінню зв'язку та оповіщення (Лоєнко А.О.) організувати:
методичне забезпечення підготовки підрозділів, які виконуватимуть роботи з технічного захисту інформації, за напрямком основної діяльності;
координацію діяльності цих підрозділів;
контроль за їх діяльністю.
6. Контроль за виконанням цього наказу залишаю за собою.
| Тимчасово виконуючий обов'язки Міністра ПОГОДЖЕНО: Голова Державної служби спеціального зв'язку та захисту інформації України | М.Болотських Л.І.Нетудихата |
ЗАТВЕРДЖЕНО
Наказ МНС України
05.11.2010 N 977
ПОРЯДОК
організації діяльності підрозділів технічного захисту інформації у системі МНС
I. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1. Цей Порядок визначає правові та організаційні засади діяльності підрозділів МНС, яким надано повноваження на проведення відповідних видів робіт з технічного захисту інформації в урядових органах державного управління, територіальних органах управління МНС, підприємствах, установах та організаціях, що належать до сфери управління МНС.
1.2. Цим Порядком також встановлюються організаційні засади проведення робіт з технічного захисту інформації у системі МНС такими підрозділами.
II. НОРМАТИВНІ ПОСИЛАННЯ
У цьому Порядку наведено посилання на такі нормативні документи:
2.1. Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27 вересня 1999 р. N 1229/99.
2.2. ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації. Терміни та визначення.
2.3. Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб, затверджене наказом ДСТСЗІ СБ України від 23.02.2002 N 9, зареєстроване у Міністерстві юстиції України 13 березня 2002 р. за N 245/6533.
2.4. Положення про державну експертизу в сфері ТЗІ, затверджене наказом Держспецзв'язку України від 16.05.2007 N 93, зареєстроване у Міністерстві юстиції України 16 липня 2007 р. за N 820/14087.
2.5. НД ТЗІ 1.1-005-07. Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Основні положення.
2.6. НД ТЗІ 3.1-001-07. Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи.
2.7. НД ТЗІ 3.3-001-07. Захист інформації на об'єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації.
2.8. НД ТЗІ 2.1-002-07. Захист інформації на об'єктах інформаційної діяльності. Випробування комплексу ТЗІ.
2.9. НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.
2.10. НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі.
2.11. НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.
2.12. НД ТЗІ 3.7-003-05. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.
2.13. Типовий порядок створення комплексних систем захисту інформації в автоматизованих системах класу 1 у структурі МНС України, погоджений з Держспецзв'язку 22.05.2007 і затверджений наказом МНС від 08.08.2007 N 539дск.
III. ВИЗНАЧЕННЯ ТА СКОРОЧЕННЯ
У цьому Порядку використовуються такі поняття:
Установа - урядові органи державного управління, територіальні органи управління МНС, а також підприємства, установи та організації, що належать до сфери управління МНС.
Підрозділ ТЗІ - підрозділ Установи, призначений для виконання робіт з технічного захисту інформації у системі МНС відповідно до повноважень, наданих Міністерством згідно з Дозволом на проведення робіт з технічного захисту інформації для власних потреб.
Інші терміни та скорочення вживаються відповідно до законодавства у сфері технічного захисту інформації.
IV. ВИДИ РОБІТ З ТЗІ, ЯКІ МОЖУТЬ ВИКОНУВАТИСЯ ПІДРОЗДІЛАМИ ТЗІ
4.1. Розроблення, впровадження, випробування, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля.
4.2. Розроблення, впровадження, випробування, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали.
4.3. Розроблення, впровадження, випробування, супроводження комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу.
4.4. Виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності.
V. ОРГАНІЗАЦІЯ ДІЯЛЬНОСТІ ПІДРОЗДІЛІВ ТЗІ
5.1. У системі МНС роботи з технічного захисту інформації проводяться підрозділами ТЗІ Установ відповідно до Дозволу на проведення робіт з технічного захисту інформації для власних потреб, наданого Міністерству у встановленому порядку, та повноважень на проведення відповідних видів робіт відповідно до наказу МНС.
Роботи з технічного захисту інформації у системі МНС також можуть проводити організації, які мають ліцензію на проведення відповідних видів робіт з технічного захисту інформації та спеціальний дозвіл на провадження діяльності, пов'язаної з державною таємницею.
5.2. Повноваження Підрозділу ТЗІ на проведення відповідних видів робіт з ТЗІ надаються наказом МНС.
5.3. Координацію, облік проведених робіт та контроль за діяльністю Підрозділів ТЗІ Установ здійснює Управління зв'язку та оповіщення МНС (далі - Управління).
5.4. Призначення кандидатів на посади у Підрозділ ТЗІ здійснюється після погодження кандидатур з Управлінням.
5.5. Основні завдання, функції, обов'язки та відповідальність Підрозділу ТЗІ Установи визначаються Положенням про підрозділ ТЗІ, яке затверджується керівником Установи.
5.6. Впровадження заходів ТЗІ в Установі, до складу якої входить Підрозділ ТЗІ, організовується керівником Установи.
5.7. Безпосередній контроль за виконанням завдань Підрозділом ТЗІ покладається на керівника підрозділу зв'язку та інформатизації Установи.
5.8. Організація заходів ТЗІ у центральному апараті Міністерства здійснюється Управлінням.
5.9. Інструментальний контроль виконання вимог та норм технічного захисту інформації на об'єкті інформаційної діяльності (далі - ОІД), де розроблено та впроваджено Підрозділом ТЗІ комплекс технічного захисту інформації, може здійснюватися Центром ТЗІ Вузла зв'язку та автоматизації МНС.
VI. УМОВИ ТА ПОРЯДОК НАДАННЯ ПОВНОВАЖЕНЬ НА ПРОВЕДЕННЯ РОБІТ З ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
6.1. Для одержання повноважень Підрозділу ТЗІ на проведення окремих видів робіт або усього переліку, зазначених у пункті 4 цього Порядку, Установа, до складу якої входить такий підрозділ, повинна мати:
6.1.1. Призначених наказом керівника Установи спеціалістів для проведення обраних видів робіт, які мають повну чи базову вищу освіту за напрямом підготовки "Інформаційна безпека" або інженерно-технічну освіту фахового спрямування, відповідного обраному виду роботи, з додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ чи стажем роботи у галузі ТЗІ за обраним видом роботи не менше 3 років, а також мають оформлені у встановленому порядку допуски до державної таємниці.
6.1.2. Нормативно-правові акти та нормативні документи з технічного захисту інформації, необхідні для проведення обраних видів робіт.
6.1.3. Повірені в установленому порядку засоби вимірювань і контролю (як власні, так і залучені на договірних засадах), а також засоби ЕОТ в обсязі, що забезпечує проведення обраних видів робіт.
6.1.4. Приміщення, у яких впроваджено і атестовано комплекси ТЗІ та інформаційні системи з впровадженою КСЗІ з підтвердженою відповідністю.
6.1.5. Спеціальний дозвіл на провадження діяльності, пов'язаної з державною таємницею.
6.1.6. Окреме приміщення, в якому розміщується начальницький склад та працівники, а також апаратура Підрозділу ТЗІ і забезпечується обмежений доступ сторонніх осіб.
6.2. Начальницький склад та працівники Підрозділу ТЗІ повинні знати методики та порядок виконання робіт з ТЗІ відповідно до вимог нормативних документів та уміти застосовувати наявну апаратуру і обладнання. Методичний супровід підвищення кваліфікації начальницького складу та працівників Підрозділу ТЗІ забезпечується Управлінням.
6.3. За умов виконання вимог, зазначених у пунктах 6.1 та 6.2 цього Порядку, Установа, у складі якої функціонує Підрозділ ТЗІ, подає до Міністерства заяву про надання повноважень на проведення робіт з ТЗІ згідно з додатком 1.
6.4. Після отримання заяви Міністерство перевіряє відомості, що містяться у поданих матеріалах, створені умови для проведення заявлених видів робіт, підготовленість начальницького складу і працівників Підрозділу ТЗІ та приймає рішення про надання повноважень на виконання заявлених видів робіт або надає рекомендації щодо усунення виявлених недоліків і термін наступної перевірки.
6.5. Повідомлення про недостатній рівень підготовленості посадових осіб Підрозділу ТЗІ до самостійного проведення робіт направляється письмово до Установи.
VII. ОРГАНІЗАЦІЯ ПРОВЕДЕННЯ РОБІТ З ТЗІ
7.1. Створення комплексу технічного захисту інформації на ОІД (далі - комплекс ТЗІ).
7.1.1. Установа, на ОІД якої буде оброблятися (циркулювати) інформація з обмеженим доступом, яка є власністю держави, організовує виконання вимог нормативних документів, зазначених у п. п. 2.5 - 2.8 цього Порядку.
7.1.2. Для уточнення даних і перевірки достатності вимог з технічного захисту інформації на ОІД щодо створення комплексу ТЗІ Технічне завдання на створення комплексу ТЗІ на ОІД та модель загроз інформації на ОІД надсилаються до МНС для розгляду Управлінням.
7.1.3. Після встановлення достатності вимог щодо захисту інформації на ОІД Технічне завдання на створення комплексу ТЗІ на ОІД погоджує начальник Управління та затверджує керівник Установи.
7.2. Створення комплексної системи захисту інформації в інформаційній, телекомунікаційній або інформаційно-телекомунікаційній системі (далі - КСЗІ в ІТС).
7.2.1. Установа, в ІТС якої буде оброблятися інформація, що є власністю держави, організовує виконання вимог документів, зазначених у п. п. 2.10 - 2.13 цього Порядку.
7.2.2. Для перевірки, уточнення даних щодо створення КСЗІ в ІТС та встановлення достатності вимог щодо захисту інформації в ІТС Технічне завдання на створення КСЗІ в ІТС та модель загроз інформації в ІТС надсилаються до МНС.
7.2.3. Після встановлення достатності вимог щодо захисту інформації в ІТС Технічне завдання на створення КСЗІ в ІТС погоджує начальник Управління та затверджує керівник Установи.
7.3. Придбання матеріалів та засобів ТЗІ для створення комплексів ТЗІ на ОІД та КСЗІ в ІТС.
7.3.1. Придбання технічних, програмних, програмно-апаратних засобів захисту інформації та матеріалів, необхідних для створення комплексу ТЗІ на ОІД та КСЗІ в ІТС здійснюється Установою після обстеження ОІД (ІТС) і надання рекомендацій фахівцями підрозділу ТЗІ, який проводитиме роботи з ТЗІ.
7.3.2. Уточнення обсягів робіт, оцінки можливих загроз інформації і необхідних заходів захисту інформації на ОІД (в ІТС), здійснює представник Підрозділу ТЗІ, який проводитиме роботи.
7.4. Після погодження Технічного завдання, розроблення необхідних документів та придбання засобів ТЗІ Установа подає на ім'я заступника Міністра - голову комісії з питань технічного захисту інформації МНС заяву згідно з додатком 2.
7.5. Проведення робіт Підрозділом ТЗІ відповідно до заяви здійснюється за письмовим розпорядженням заступника Міністра - голови комісії з питань технічного захисту інформації в МНС.
7.6. Проведення чергових випробувань та атестації діючих комплексів ТЗІ здійснюється після подання відповідної заяви згідно з додатком 2, а також письмового розпорядження згідно з пунктом 7.5.
7.7. До отримання Міністерством повноваження від Адміністрації Держспецзв'язку України щодо організації та проведення первинних або додаткових експертиз КСЗІ в ІТС проведення таких експертиз у структурі МНС здійснюється ліцензіатами у сфері ТЗІ, які входять до відповідного реєстру організаторів державної експертизи у сфері ТЗІ.
Порядок проведення державної експертизи КСЗІ в ІТС визначається Положенням про державну експертизу в сфері ТЗІ, затвердженим та введеним у дію відповідним наказом Держспецзв'язку.
7.8. Під час проведення робіт Підрозділ ТЗІ зобов'язаний:
дотримуватися вимог режиму секретності;
здійснювати впровадження заходів захисту інформації відповідно до вимог чинних нормативних документів з питань ТЗІ та розпорядчих документів МНС за напрямом ТЗІ;
застосовувати технічні засоби забезпечення технічного захисту інформації (технічні засоби із захистом інформації, засоби технічного захисту інформації, засоби контролю за ефективністю технічного захисту інформації), які дозволено у встановленому порядку для використання та включено до відповідних переліків;
терміново (телефонним зв'язком та не пізніше наступного дня письмово) інформувати регіональний підрозділ Служби безпеки України про виявлення закладних пристроїв, до початку подальших дій, які будуть визначені Службою безпеки України за фактом виявлення закладних пристроїв, забезпечувати їх схоронність у стані, в якому вони знаходилися на час виявлення;
інформувати письмово у тижневий термін регіональний підрозділ Держспецзв'язку та режимно-секретний орган МНС про факти виявлення закладних пристроїв (тип та технічні характеристики закладних пристроїв, місце та спосіб встановлення, демаскуючі ознаки, спосіб виявлення тощо).
VIII. КОНТРОЛЬ ЗА ДОТРИМАННЯМ ВИМОГ НОРМАТИВНИХ ДОКУМЕНТІВ СИСТЕМИ ТЗІ
8.1. Контроль за дотриманням вимог нормативних документів системи ТЗІ та умов проведення робіт з ТЗІ для власних потреб здійснює Управління під час проведення перевірок, а також шляхом аналізу документів, розроблених Підрозділом ТЗІ у ході проведення робіт і направлених за вказівкою до МНС.
Виконання вимог нормативних документів системи ТЗІ у ході створення КСЗІ в ІТС перевіряється під час проведення державної експертизи.
8.2. Конкретний перелік питань, які підлягають контролю, визначається у програмі (плані) проведення перевірки.
8.3. У разі виявлення порушень вимог з технічного захисту інформації, допущених начальницьким складом та працівниками Підрозділу ТЗІ у ході виконання робіт, унаслідок чого створюється реальна загроза або передумови порушення конфіденційності, зокрема за рахунок витоку (просочення) технічними каналами, та/або цілісності й доступності інформації, Міністерством приймається рішення щодо призупинення повноважень Підрозділу ТЗІ з визначенням терміну позачергової перевірки рівня теоретичних знань та практичних навичок посадових осіб Підрозділу ТЗІ за напрямком діяльності.
На ОІД Установи, де виявлено такі порушення, призупиняється діяльність з інформацією з обмеженим доступом до усунення виявлених порушень.
8.4. Відновлення повноважень Підрозділу ТЗІ здійснюється після отримання позитивних результатів додаткової перевірки підготовленості його посадових осіб та усунення інших недоліків, які призвели до порушення.
8.5. Відновлення функціонування ОІД здійснюється після отримання акта атестації комплексу ТЗІ за результатами позачергової атестації.
IX. НОРМАТИВНО-МЕТОДИЧНЕ ЗАБЕЗПЕЧЕННЯ ДІЯЛЬНОСТІ
9.1. Забезпечення Підрозділу ТЗІ необхідними нормативними документами з питань технічного захисту інформації здійснюється Міністерством відповідно до Угоди між МНС та Держспецзв'язку "Про порядок розмноження та розповсюдження в Міністерстві України з питань надзвичайних ситуацій та у справах захисту населення від наслідків Чорнобильської катастрофи нормативних документів з питань технічного захисту інформації".
9.2. Придбання необхідних нормативно-методичних документів з питань технічного захисту інформації колишнього СРСР, державних стандартів, державних будівельних норм здійснюється Установою самостійно.
X. ПІДВИЩЕННЯ КВАЛІФІКАЦІЇ
10.1. Підвищення кваліфікації начальницького складу та працівників Підрозділів ТЗІ здійснюється відповідно до вимог нормативних документів з питань ТЗІ на курсах підвищення кваліфікації у галузі інформаційної безпеки, які внесені до відповідного переліку Держспецзв'язку, з отриманням свідоцтва про підвищення кваліфікації державного зразка.
10.2. Підвищення рівня професійної підготовки начальницького складу та працівників Підрозділів ТЗІ у системі МНС здійснюється шляхом проведення навчально-методичних зборів, семінарів та самостійної підготовки. У ході проведення зборів відпрацьовуються практичні навички щодо використання пошукової та вимірювальної апаратури і обладнання, здійснюється удосконалення теоретичної підготовки за напрямами діяльності.
10.3. У ході проведення навчально-методичних зборів проводиться оцінка знань начальницького складу та працівників Підрозділів ТЗІ за напрямком діяльності.
XI. ЗВІТНІСТЬ ПРО ПРОВЕДЕНІ РОБОТИ З ТЗІ
11.1. Підрозділом ТЗІ щороку (до 1 грудня) подаються до МНС відомості щодо виконаних протягом поточного року робіт за формою згідно з додатком 3.
| Начальник Управління зв'язку та оповіщення МНС України | А.О.Лоєнко |
Додаток 1
до пункту 6.3 Порядку
організації діяльності
підрозділів технічного
захисту інформації
у системі МНС
Гриф обмеження доступу
Прим. N __
Заступнику Міністра,
голові комісії
з питань ТЗІ в МНС
____________________
ЗАЯВА
про надання повноважень на проведення робіт з технічного захисту інформації у структурі МНС
Заявник _____________________________________________________
(найменування Установи)
1. Загальні відомості:
------------------------------------------------------------------
| N | Відомості |
|з/п | |
|----+-----------------------------------------------------------|
| 1 |Посада, прізвище, ім'я, по батькові керівника |
|----+-----------------------------------------------------------|
| 2 |Реєстраційний номер, дата видачі, термін дії спеціального |
| |дозволу на здійснення діяльності, пов'язаної з державною |
| |таємницею |
|----+-----------------------------------------------------------|
| 3 |Місцезнаходження Установи |
------------------------------------------------------------------
2. Повне найменування підрозділу ТЗІ, який виконуватиме
роботи:
__________________________________________________________________
3. Відомості про спеціалістів підрозділу ТЗІ:
------------------------------------------------------------------
| N |Прізвище, ім'я, |Посада | Відомості про |Форма допуску |
| з/п | по батькові | | кваліфікацію | |
| | | | (освіта, | |
| | | | спеціальність | |
| | | |перепідготовка,| |
| | | | підвищення | |
| | | |кваліфікації) | |
|-------+----------------+--------+---------------+--------------|
| 1 | 2 | 3 | 4 | 5 |
------------------------------------------------------------------
4. Перелік наявних нормативно-правових актів та нормативних
документів, що необхідні для виконання обраних видів робіт з ТЗІ:
------------------------------------------------------------------
| N | Найменування |
| з/п | |
|---------------------------+------------------------------------|
| 1 | 2 |
------------------------------------------------------------------
5. Перелік засобів вимірювання, контролю, допоміжних засобів
та обладнання, що забезпечують виконання обраних видів робіт з
ТЗІ:
------------------------------------------------------------------
| N | Найменування | Тип |Заводський номер |Дата повірки |
| з/п | | | | |
|--------+---------------+------+-----------------+--------------|
| 1 | 2 | 3 | 4 | 5 |
------------------------------------------------------------------
6. Відомості про об'єкти інформаційної діяльності Установи,
на яких атестовано комплекси ТЗІ; інформаційно-телекомунікаційні
системи, в яких впроваджено КСЗІ з підтвердженою відповідністю,
які використовуватимуться для проведення обраних видів робіт з
ТЗІ:
------------------------------------------------------------------
| N |Назва ОІД та ІТС | Відомості про атестацію комплексу ТЗІ |
| з/п | | на ОІД та державну експертизу КСЗІ в |
| | | ІТС |
| | | (категорія приміщення та ІТС, ким та |
| | | коли проведено атестацію КТЗІ |
| | | (експертизу КСЗІ), термін проведення |
| | | чергової атестації комплексу ТЗІ |
| | | (чергової експертизи КСЗІ), реквізити |
| | | акта атестації КТЗІ (атестата |
| | | відповідності КСЗІ в ІТС)) |
|------+-----------------+---------------------------------------|
| 1 | 2 | 3 |
------------------------------------------------------------------
просить надати дозвіл на проведення таких видів робіт з ТЗІ:
1) __________________________________________________________
2) __________________________________________________________
3) __________________________________________________________
4) __________________________________________________________
З Положенням про дозвільний порядок проведення робіт з ТЗІ
для власних потреб ознайомлений і зобов'язуюсь його дотримуватись.
Підпис заявника _________________________________________________
(посада, сп. зв., прізвище, ім'я,
по батькові керівника Установи)
"__" ___________ ____ р.
Додаток 2
до пункту 7.4 Порядку
організації діяльності
підрозділів технічного
захисту інформації
у системі МНС
Гриф обмеження доступу
Прим. N __
Заступнику Міністра,
голові комісії з питань ТЗІ
____________________
ЗАЯВА
на проведення робіт з ТЗІ
_____________________________________________________________
(найменування Установи)
просить направити підрозділ ТЗІ МНС для проведення на об'єкті
(об'єктах) інформаційної діяльності Головного управління наступних
робіт з ТЗІ:
впровадження КСЗІ в 1С (ІТС) класу ___ у приміщенні N _______
підрозділу з метою захисту інформації з обмеженим доступом з вищим
ступенем обмеження доступу _________;
створення комплексу ТЗІ у приміщенні N ___ підрозділу з метою
захисту інформації з обмеженим доступом з вищим ступенем обмеження
доступу __________;
проведення чергових випробувань та атестації комплексу ТЗІ на
об'єкті інформаційної діяльності - приміщення N _____ підрозділу.
Термін чергової атестації згідно з актом атестації комплексу
ТЗІ - ___ ___________ 20__ р.
проведення чергових випробувань та атестації комплексу ТЗІ у
складі КСЗІ в ІТС класу "___" шифр ІТС - ________. Вищий ступінь
обмеження доступу інформації в ІТС - _______. Термін чергової
атестації згідно з актом атестації комплексу ТЗІ __ ______ 20__ р.
Керівник Установи Ініціали, прізвище
Додаток 3
до пункту 11 Порядку
організації діяльності
підрозділів технічного
захисту інформації
у системі МНС
Гриф обмеження доступу
Прим. N __
Заступнику Міністра,
голові комісії з питань ТЗІ
________________
ВІДОМОСТІ
про виконані роботи з технічного захисту інформації Підрозділом ТЗІ Установи у 20__ році
1. Склад Підрозділу ТЗІ Установи: _______:
------------------------------------------------------------------
| N | Посада | сп. зв. | П.І.Б. | Примітки |
| з/п | | | | |
|---------+------------+-------------+-------------+-------------|
| | | | | |
------------------------------------------------------------------
2. Технічне оснащення Підрозділу ТЗІ відповідає відомостям,
наданим у заяві на отримання повноважень на проведення робіт з
технічного захисту інформації у структурі МНС (або зазначити
зміни).
3. У 20__ році Підрозділом виконано наступні роботи:
3.1. Створення, випробування та атестація комплексів ТЗІ на
ОІД:
------------------------------------------------------------------------------
| N | Назва |Назва| Обл. N | Термін |Застосовані| Вид |Примітка |
|з/п |структурного| ОІД | Акта |чергової | у складі |атестації | |
| | підрозділу | |атестації|атестації| комплексу |(первинна,| |
| | МНС та | |комплексу|комплексу|засоби ТЗІ |чергова) | |
| | термін | | ТЗІ | ТЗІ | | | |
| | виконання | | | | | | |
| | робіт | | | | | | |
|----+------------+-----+---------+---------+-----------+----------+---------|
| | | | | | | | |
------------------------------------------------------------------------------
3.2. Впровадження комплексних систем захисту інформації в
ІТС:
------------------------------------------------------------------------------------
| N | Назва | Назва | Клас та |Застосований | Реквізити |Примітка |
|з/п |структурного|приміщення,|категорія |у складі КСЗІ| атестату | |
| | підрозділу | у якому | ІТС, акт | комплекс |відповідності на | |
| | МНС та | розміщено |завершення| засобів | КСЗІ | |
| | термін | ІТС | робіт зі | захисту від | (найменування | |
| | виконання | |створення | НСД |організації, яка | |
| | робіт | | КСЗІ | (реквізити |проводить/провела| |
| | | | | сертифіката | експертизу) | |
| | | | |відповідності| | |
| | | | | на КЗЗ) | | |
|----+------------+-----------+----------+-------------+-----------------+---------|
| | | | | | | |
------------------------------------------------------------------------------------
3.3. Проведено комплексні спеціальні перевірки (КСП) на ОІД:
------------------------------------------------------------------
| N |Назва структурного|Назва ОІД | Обл. N протоколу |Примітка |
| з/п |підрозділу МНС та | | КСП | |
| | термін виконання | | | |
| | робіт | | | |
|-----+------------------+----------+------------------+---------|
| | | | | |
------------------------------------------------------------------
4. Відомості про факти виявлення закладних пристроїв (ЗП) на
ОІД та вжиті при цьому заходи:
Опис виявленого ЗП (тип та технічні характеристики, місце та
спосіб встановлення, демаскуючі ознаки, спосіб виявлення тощо).
Вжиті заходи згідно з рекомендаціями співробітників
регіонального підрозділу СБУ.
Інформація щодо повідомлення про факт виявлення ЗП:
--------------------------------------------------------------------------
| N |Найменування | Номер та дата реєстрації повідомлення |Примітка |
|з/п | ОІД |-------------------------------------------| |
| | | Регіонального підрозділу | РСО МНС | |
| | |-----------------------------| України про | |
| | |СБУ про факт |Держспецзв'язку|факт та вжиті| |
| | |виявлення ЗП | про вжиті | заходи | |
| | | | заходи | | |
|----+-------------+-------------+---------------+-------------+---------|
| | | | | | |
--------------------------------------------------------------------------
4. Проведення повірки засобів вимірювальної техніки
Підрозділу ТЗІ.
5. Проблемні питання з ТЗІ.
Керівник Установи Ініціали, прізвище
ЗАТВЕРДЖЕНО
Наказ МНС України
05.11.2010 N 977
ТИПОВЕ ПОЛОЖЕННЯ
про підрозділ, який виконує роботи з технічного захисту інформації у системі МНС
I. Загальні положення
1.1. Підрозділ технічного захисту інформації (далі - Підрозділ ТЗІ) є структурним підрозділом урядового органу державного управління, територіального органу управління МНС, а також підприємства, установи та організації, що належить до сфери управління МНС (далі - Установа) і підпорядковується її керівнику.
1.2. Підрозділ ТЗІ виконує роботи з технічного захисту інформації у системі МНС відповідно до Порядку організації діяльності підрозділів технічного захисту інформації у системі МНС, погодженого з Держспецзв'язку і введеного в дію відповідним наказом МНС, та повноважень, наданих Міністерством згідно з Дозволом на проведення робіт з технічного захисту інформації для власних потреб.
1.3. У своїй діяльності Підрозділ ТЗІ керується Конституцією України, законами України, актами Президента України, Верховної Ради України та Кабінету Міністрів України, чинними нормативно-правовими актами та нормативними документами системи технічного захисту інформації, розпорядчими документами МНС, Положенням про Установу і цим Положенням.
1.4. Структуру Підрозділу ТЗІ і граничну чисельність осіб начальницького складу та працівників, залежно від обсягу і особливостей робіт, пов'язаних з технічним захистом інформації, визначає Міністр за поданням керівника Установи та за погодженням з начальником Управління зв'язку та оповіщення (далі - Управління).
1.5. Підрозділ ТЗІ комплектується особами начальницького складу та працівниками, які мають повну чи базову вищу освіту за напрямом підготовки "Інформаційна безпека" або інженерно-технічну освіту фахового спрямування, відповідно до обраного виду роботи, з додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ чи стажем роботи у галузі ТЗІ за обраним видом роботи не менше 3 років.
1.6. Підрозділ ТЗІ здійснює заходи щодо захисту інформації у взаємодії з іншими підрозділами, які забезпечують інформаційну безпеку в Установі.
1.7. Підвищення кваліфікації начальницького складу та працівників Підрозділів ТЗІ здійснюється відповідно до вимог нормативних документів з питань ТЗІ на курсах підвищення кваліфікації у галузі інформаційної безпеки, які внесені до відповідного переліку Держспецзв'язку, з отриманням свідоцтва про підвищення кваліфікації державного зразка.
II. Основні завдання Підрозділу ТЗІ
2.1. Розроблення, впровадження, атестація та супроводження комплексів технічного захисту інформації на об'єктах інформаційної діяльності (далі - ОІД) Установ.
2.2. Розроблення, створення та супроводження комплексних систем захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - ІТС) Установ.
2.3. Проведення заходів щодо виявлення та блокування витоку мовної та видової інформації через закладні пристрої на ОІД Установи.
III. Функції Підрозділу ТЗІ
3.1. Визначення можливих технічних каналів витоку інформації, що становить державну або іншу визначену законом таємницю, за результатами обстеження ОІД та ІТС Установ.
3.2. Визначення загроз для інформації в ІТС Установ за результатами досліджень.
3.3. Розроблення, впровадження та атестація комплексів технічного захисту інформації (далі - комплексів ТЗІ) на ОІД Установ.
3.4. Впровадження та супроводження комплексних систем захисту інформації (далі - КСЗІ) в ІТС Установ.
3.5. Проведення спеціальних перевірок щодо виявлення та блокування витоку мовної та видової інформації через закладні пристрої на ОІД Установ.
3.6. Проведення чергових випробувань та атестації комплексів ТЗІ на ОІД Установ.
3.7. Супроводження проведення державної експертизи КСЗІ в ІТС Установ.
3.8. Проведення державної експертизи КСЗІ в ІТС за умови отримання таких повноважень відповідно до законодавства.
3.9. Розроблення висновків та рекомендацій щодо можливості експлуатації допоміжних технічних засобів на ОІД Установ, за результатами спеціальних досліджень.
3.10. Участь у розслідуванні порушень вимог з ТЗІ в Установі та подання пропозицій щодо попередження в майбутньому подібних порушень.
3.11. Документальне оформлення проведених робіт з технічного захисту інформації відповідно до вимог чинних нормативних документів системи ТЗІ.
3.12. Взаємодія з питань захисту інформації з іншими підрозділами ТЗІ у системі МНС.
IV. Права і обов'язки Підрозділу ТЗІ
4.1. Підрозділ ТЗІ має право:
проводити роботи з технічного захисту інформації на ОІД та в ІТС Установ;
за дорученням голови комісії з питань ТЗІ, що створена в Установі, до складу якої входить Підрозділ ТЗІ, здійснювати контроль за діяльністю будь-якого структурного підрозділу Установи стосовно виконання ним вимог інформаційної безпеки та інших питань щодо технічного захисту інформації;
брати участь у проведенні розслідування причин, що призвели до порушення норм і вимог з ТЗІ;
ознайомлюватися у встановленому порядку з відомостями, роботами, документами, необхідними для забезпечення ТЗІ, і подавати пропозиції щодо удосконалення системи ТЗІ в Установі;
виступати організатором державної експертизи КСЗІ в ІТС Установ за умови отримання таких повноважень відповідно до законодавства;
подавати пропозиції щодо придбання необхідних засобів ТЗІ, спеціальної пошукової та вимірювальної апаратури, обладнання, матеріалів, які необхідні для виконання покладених завдань.
4.2. Підрозділ ТЗІ зобов'язаний:
проводити роботи з ТЗІ та їх документальне оформлення з дотриманням вимог режиму секретності та вимог щодо збереження конфіденційної інформації;
здійснювати виконання заходів з ТЗІ згідно з вимогами чинних нормативно-правових актів та нормативних документів з питань ТЗІ;
дотримуватися вимог пожежної безпеки, правил охорони праці та безпечної експлуатації електроустановок у ході проведення робіт.
V. Взаємодія підрозділу ТЗІ
5.1. Підрозділ ТЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, що займаються питаннями ТЗІ.
5.2. Підрозділ ТЗІ взаємодіє з органами та підрозділами Установ:
режимно-секретними органами;
підрозділами зв'язку та інформаційних технологій;
іншими підрозділами, що беруть участь у впровадженні заходів ТЗІ.
5.3. Методичне керівництво та координація діяльності Підрозділів ТЗІ здійснюється Управлінням.
VI. Організація роботи
6.1. Робота Підрозділу ТЗІ планується на квартал.
6.2. Завдання та функції осіб начальницького складу та працівників підрозділу ТЗІ визначаються посадовими інструкціями.
Положення про Підрозділ ТЗІ та посадові інструкції особового складу та працівників затверджуються керівником Установи.
6.3. Загальні засади діяльності, статус, умови грошового забезпечення (заробітна плата), матеріальне, соціальне і побутове забезпечення особового складу (працівників) Підрозділу ТЗІ визначаються чинним законодавством.
6.4. Діяльність Підрозділу ТЗІ організовується відповідно до Порядку організації діяльності підрозділів технічного захисту інформації у системі МНС, погодженого з Держспецзв'язку і введеного в дію відповідним наказом МНС.
6.5. Впровадження заходів ТЗІ в Установі, до складу якої входить Підрозділ ТЗІ, організовується керівником Установи.
6.6. Виконання робіт Підрозділом ТЗІ в інших Установах здійснюється за окремим розпорядженням заступника Міністра - голови комісії з питань ТЗІ МНС.
VII. Керівництво
7.1. Підрозділ ТЗІ очолює начальник, якого призначає керівник Установи за погодженням з начальником Управління.
7.2. На час відсутності керівника Підрозділу ТЗІ його обов'язки, за дорученням, виконує один із фахівців Підрозділу ТЗІ.
7.3. Керівник Підрозділу ТЗІ відповідно до покладених на підрозділ завдань:
організовує і керує роботою Підрозділу ТЗІ щодо виконання покладених на нього завдань;
забезпечує своєчасне і якісне виконання робіт, їх документальне оформлення відповідно до вимог нормативних документів з питань ТЗІ;
здійснює взаємодію Підрозділу ТЗІ з іншими підрозділами ТЗІ у структурі МНС;
вивчає нові розробки та методики щодо ТЗІ;
вивчає розпорядження та вказівки з питань діяльності Підрозділу ТЗІ і доводить їх до підлеглих у межах їх обов'язків;
здійснює облік виконаних Підрозділом ТЗІ робіт та доповідає за підпорядкованістю у встановлені терміни;
здійснює заходи, спрямовані на запобігання виходу з ладу обладнання, дотримання правил охорони праці та вимог пожежної безпеки у повсякденній діяльності Підрозділу ТЗІ;
подає пропозиції щодо придбання необхідного обладнання і матеріалів для забезпечення функціонування Підрозділу ТЗІ та здійснює контроль за їх цільовим використанням;
здійснює контроль за якістю виконаних Підрозділом ТЗІ робіт;
вживає заходів щодо підвищення професійного рівня осіб начальницького складу та працівників Підрозділу ТЗІ;
бере участь у тематичних конференціях, семінарах, виставках тощо;
постійно вдосконалює свої фахові та методичні знання.
7.4. Керівник Підрозділу ТЗІ має право:
за окремим дорученням у межах компетенції представляти підрозділ в інших Установах;
надавати рекомендації щодо впровадження заходів ТЗІ на ОІД та в ІТС Установ.
7.5. Керівник Підрозділу ТЗІ повинен знати:
основні нормативно-правові акти сфери діяльності МНС;
акти законодавства, що стосуються служби цивільного захисту;
трудове законодавство;
Укази Президента України, постанови та розпорядження Верховної Ради України, Кабінету Міністрів України, інші нормативно-правові акти, що регулюють забезпечення і розвиток технічного захисту інформації та протидії технічним розвідкам;
нормативні документи з питань ТЗІ, які регламентують діяльність Підрозділу ТЗІ;
технічні характеристики спеціального пошукового та вимірювального обладнання і апаратури, якими забезпечується Підрозділ ТЗІ, а також характеристики засобів ТЗІ, які дозволені до застосування у встановленому порядку;
нові розробки та методики щодо ТЗІ, характеристики засобів несанкціонованого отримання інформації, які можуть використовуватися технічними розвідками;
характеристики можливих технічних каналів витоку інформації;
основні технології захисту інформації, порядок впровадження комплексів ТЗІ на ОІД та комплексних систем захисту інформації в Системах, основні засоби захисту від несанкціонованого доступу до інформації та засоби захисту від витоку технічними каналами;
правила охорони праці та пожежної безпеки.
7.6. Кваліфікаційні вимоги до посади начальника Підрозділу ТЗІ:
повна чи базова вища освіта за напрямом підготовки "Інформаційна безпека" або інженерно-технічна освіта фахового спрямування, відповідно до обраного виду роботи, з додатковою підготовкою на курсах перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ чи стажем роботи у галузі ТЗІ за обраним видом роботи не менше 3 років.
7.7. Керівник Підрозділу ТЗІ несе персональну відповідальність, передбачену чинним законодавством, за своєчасне і повне виконання Підрозділом ТЗІ завдань відповідно до вимог нормативно-правових актів та нормативних документів з питань технічного захисту інформації.
Керівник Підрозділу ТЗІ підпис Прізвище
| Начальник Управління зв'язку та оповіщення МНС України | А.О.Лоєнко |