МІНІСТЕРСТВО ВНУТРІШНІХ СПРАВ УКРАЇНИ
НАКАЗ
29.02.2016 № 139
Зареєстровано в Міністерстві
юстиції України
23 березня 2016 р.
за № 431/28561
Про затвердження Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України
( Із змінами, внесеними згідно з Наказами Міністерства внутрішніх справ № 494 від 15.08.2022 № 276 від 18.04.2025 )
Відповідно до Законів України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229, з метою посилення контролю за станом технічного захисту інформації в органах і підрозділах Національної поліції України НАКАЗУЮ:
( Преамбула із змінами, внесеними згідно з НаказомМіністерства внутрішніх справ № 494 від 15.08.2022 )
1. Затвердити Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України, що додається.
2. Департаменту формування політики щодо підконтрольних Міністрові органів влади та моніторингу МВС (Боднар В.Є.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.
3. Контроль за виконанням цього наказу покласти на Голову Національної поліції України Х. Деканоідзе.
4. Цей наказ набирає чинності з дня його офіційного опублікування.
| Міністр | А.Б. Аваков |
| ПОГОДЖЕНО: Голова Державної служби спеціального зв'язку та захисту інформації України Голова Національної поліції України підполковник поліції | Л.О. Євдоченко Х. Деканоідзе |
ЗАТВЕРДЖЕНО
Наказ Міністерства внутрішніх
справ України
29.02.2016 № 139
Зареєстровано в Міністерстві
юстиції України
23 березня 2016 р.
за № 431/28561
ПОЛОЖЕННЯ
про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України
( У тексті Положення слова "УРТЗІ НПУ" замінено словом "ДРТЗІ"; слова "органи, щодо яких здійснюється ТЗІ," в усіх відмінках замінено словами "суб’єкти перевірки" у відповідних відмінках; слова "нормативно-технічних документів з ТЗІ" в усіх відмінках замінено словами "нормативних документів у сфері ТЗІ" у відповідних відмінках; слова "та (або)" замінено словами "та/або" згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
І. Загальні положення
1. Це Положення визначає порядок організації та здійснення Національною поліцією України контролю за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом (далі — контроль за станом технічного захисту інформації), у структурних підрозділах центрального органу управління поліції, територіальних (у тому числі міжрегіональних) органах поліції та їх територіальних (відокремлених) підрозділах, а також в установах, закладах та організаціях, що належать до сфери управління Національної поліції України (далі — суб’єкти перевірки).
( Пункт 1 розділу I в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
2. Контроль за станом технічного захисту інформації в суб’єктах перевірки здійснюється Департаментом режиму та технічного захисту інформації Національної поліції України (далі — ДРТЗІ).
( Пункт 2 розділу I в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
3. У цьому Положенні терміни вживаються в такому значенні:
висновок перевірки — результат оцінки стану захисту інформації, повноти та достатності заходів щодо захисту інформації та їх відповідності вимогам нормативно-правових актів і нормативних документів у сфері технічного захисту інформації (далі — ТЗІ);
внутрішній контроль за станом технічного захисту інформації — заходи з контролю, що проводяться територіальними (у тому числі міжрегіональними) органами поліції в підпорядкованих підрозділах з метою отримання інформації про стан ТЗІ;
контрольована зона — територія (простір) навколо об’єкта інформаційної діяльності, на якій (у межах якої) виключено несанкціоноване розташування технічних і транспортних засобів та неконтрольоване перебування сторонніх осіб;
контрольно-інспекторська робота з питань ТЗІ — діяльність щодо визначення та вдосконалення стану ТЗІ суб’єктів перевірки;
об’єкт інформаційної діяльності (далі — ОІД) — інженерно-технічна споруда (будівля, приміщення тощо), відокремлена територія (зона), транспортний засіб, намет, де провадиться діяльність, пов’язана з державними інформаційними ресурсами та інформацією, вимога щодо захисту якої встановлена законом;
передумови до реалізації загрози для інформації — обставини (недостатність упроваджених заходів із захисту інформації, людський фактор), унаслідок яких можливе виникнення загроз для інформації, вимога щодо захисту якої встановлена законом, стосовно порушення її конфіденційності, цілісності й доступності;
перешкоджання проведенню перевірки — відмова керівника або уповноважених представників суб’єкта перевірки у провадженні діяльності посадовими особами, які проводять перевірку, у наданні доступу до об’єкта (об’єктів) перевірки, повної та достовірної інформації, документів щодо предмета перевірки, а також невиконання інших обов’язків, визначених цим Положенням;
порушення у сфері ТЗІ — невиконання вимог нормативно-правових актів і нормативних документів у сфері ТЗІ за категоріями, які визначають імовірну можливість та/або факт реалізації загроз для інформації;
реальна загроза для інформації — недостатність упроваджених заходів із захисту інформації, унаслідок чого створено загрози для інформації, вимога щодо захисту якої встановлена законом, стосовно порушення її конфіденційності, цілісності й доступності;
технічний канал витоку інформації — взаємопов’язана сукупність джерела небезпечного сигналу, середовища його поширення та засобу технічної розвідки, спрямована на несанкціоноване зняття (перехоплення) інформації.
Інші терміни в цьому Положенні вживаються у значеннях, наведених у Законах України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", "Про інформацію", "Про Державну службу спеціального зв’язку та захисту інформації України"";
( Пункт 3 розділу I в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
4. Контроль за станом ТЗІ полягає в перевірці виконання вимог нормативно-правових актів і нормативних документів у сфері ТЗІ та здійснюється з метою визначення стану ТЗІ в суб’єктах перевірки, виявлення порушень з ТЗІ та запобігання ним.
5. Контроль за станом ТЗІ здійснюється ДРТЗІ шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ стосовно суб’єктів перевірки.
6. Внутрішній контроль за станом ТЗІ в суб’єктах перевірки виконується відповідними підрозділами, на які письмовим наказом керівника територіального (у тому числі міжрегіонального) органу поліції покладено забезпечення ТЗІ в цих органах (далі — підрозділи ТЗІ), на підставі організаційно-розпорядчих документів, розроблених суб’єктами перевірки та погоджених із ДРТЗІ.
( Пункт 6 розділу I в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
7. Відповідальними особами за організацію внутрішнього контролю за станом ТЗІ в територіальних (у тому числі міжрегіональних) органах поліції є їх керівники.
( Пункт 7 розділу I із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
8. Контрольно-інспекторська робота з питань ТЗІ включає планування та проведення перевірок стану ТЗІ (далі - перевірки) в суб’єктах перевірки, аналіз їх результатів та надання рекомендацій щодо вдосконалення заходів з ТЗІ.
9. За результатами контрольно-інспекторської роботи проводиться аналіз та узагальнення стану ТЗІ в суб’єктах перевірки.
Аналітичні матеріали щодо стану ТЗІ в суб’єктах перевірки доповідаються Голові Національної поліції України або його заступникові відповідно до розподілу функціональних обов’язків.
( Абзац другий пункту 9 розділу I із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
ІІ. Організація проведення перевірок стану ТЗІ
1. Перевірки стану ТЗІ діляться на комплексні, цільові (тематичні) та контрольні. Зазначені перевірки можуть бути плановими та позаплановими.
2. У ході комплексної перевірки визначається відповідність упроваджених заходів із ТЗІ в інформаційно-комунікаційних системах (далі — ІКС), а також на ОІД, де передбачено обробку мовної інформації, що становить державну таємницю, вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ.
( Пункт 2 розділу II в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
3. Під час цільової (тематичної) перевірки перевіряються окремі питання щодо впроваджених заходів із ТЗІ в окремих ІКС та/або на ОІД на відповідність вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ.
( Пункт 3 розділу II в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
4. При контрольній перевірці перевіряються повнота та достатність проведених заходів щодо усунення недоліків, які були виявлені в ході проведення попередньої комплексної або цільової перевірки. Контрольні перевірки проводяться після отримання письмового повідомлення про усунення недоліків.
5. Планові перевірки здійснюються згідно з планом основних організаційних і практичних заходів ДРТЗІ.
( Пункт 5 розділу II із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
6. Позапланові перевірки проводяться в разі наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ або в разі виникнення потреби у визначенні повноти та достатності заходів з ТЗІ, ужитих суб’єктами перевірки. Зазначені перевірки можуть проводитися з попередженням або без попередження керівників суб’єктів перевірки.
7. Керівництву суб’єктів перевірки повідомляється про проведення перевірки не пізніше ніж за десять діб до її початку (за винятком проведення позапланової перевірки).
( Пункт 7 розділу II із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
8. Перевірки стану ТЗІ здійснюються посадовими особами ДРТЗІ, на яке покладено виконання завдань щодо здійснення контролю за станом ТЗІ.
9. Підставою для допуску посадових осіб ДРТЗІ до перевірки та надання документів, необхідних для її проведення (у тому числі з обмеженим доступом), є наявність припису на проведення перевірки, форму якого визначено у додатку до цього Положення, за підписом Голови Національної поліції України або особи, яка виконує його обов’язки, та інших документів з дотриманням вимог законодавства про державну таємницю.
( Абзац другий пункту 9 розділу II виключено на підставі Наказу Міністерства внутрішніх справ № 494 від 15.08.2022 )
( Пункт 9 розділу II із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
10. Перевірки щодо інформації, що становить державну таємницю, можуть проводитися в ході здійснення контролю за забезпеченням охорони державної таємниці в суб’єктах перевірки згідно з вимогами Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженого постановою Кабінету Міністрів України від 18 грудня 2013 року № 939.
У цьому разі контроль за станом ТЗІ здійснюється комісією ДРТЗІ з перевірки стану охорони державної таємниці.
Під час такої перевірки перевіряються питання щодо впроваджених заходів із ТЗІ в ІКС та/або на ОІД, де передбачено обробку інформації, що становить державну таємницю, на відповідність вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ.
( Розділ II доповнено новим пунктом згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
ІІІ. Права посадових осіб ДРТЗІ, що здійснюють перевірку стану ТЗІ
1. Посадові особи ДРТЗІ, які здійснюють перевірку стану ТЗІ, мають право на:
1) доступ (з дотриманням вимог нормативно-правових актів щодо охорони державної таємниці в Україні) до ОІД суб’єктів перевірки для здійснення контролю за станом ТЗІ, а також до інших приміщень (на територію, у споруди, будівлі, кабінети) для вивчення питань, безпосередньо пов’язаних із перевіркою;
2) доступ до ІКС (крім інформаційних ресурсів ІКС, що мають атестовані системи захисту інформації) з метою отримання інформації, яка необхідна для з’ясування стану захищеності ІКС;
3) ознайомлення з будь-якими документами, необхідними для перевірки;
4) отримання копій необхідних документів, письмових пояснень (довідок, рапортів) посадових осіб з питань, що виникають під час проведення перевірки;
5) висування за результатами перевірок вимог щодо приведення стану ТЗІ у відповідність до законодавства та здійснення контролю за їх виконанням;
6) порушення перед керівниками суб’єктів перевірки питання щодо проведення службового розслідування в разі невиконання вимог нормативно-правових актів і нормативних документів у сфері технічного захисту інформації, вимога щодо захисту якої встановлена законом.
( Пункт 1 розділу III в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
2. Посадові особи ДРТЗІ в разі виявлення порушень норм і вимог з ТЗІ першої або другої категорії на об’єктах інформаційної діяльності та в ІКС мають право порушувати питання щодо призупинення або скасування дії відповідних актів атестації комплексів ТЗІ, декларацій та атестатів відповідності комплексної системи захисту інформації в автоматизованих системах, про що повідомляється Адміністрації Держспецзв’язку.
У разі виявлення порушень норм і вимог із ТЗІ першої або другої категорії керівник суб’єкта перевірки негайно видає письмовий наказ про припинення обробки інформації, вимога щодо захисту якої встановлена законом, або державних інформаційних ресурсів на об’єктах інформаційної діяльності та/або в ІКС, де були виявлені зазначені порушення.
Дозвіл на відновлення обробки інформації на об’єктах інформаційної діяльності та/або ІКС, де були виявлені порушення норм і вимог з ТЗІ першої або другої категорії, дає керівник суб’єкта перевірки за погодженням з ДРТЗІ після усунення порушень, про що повідомляється Адміністрації Держспецзв’язку.
( Пункт 2 розділу III в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
IV. Порядок проведення перевірок стану ТЗІ
1. Для проведення перевірки стану ТЗІ посадові особи ДРТЗІ пред'являють керівникові суб’єкту перевірки, або особі, яка виконує його обов’язки, припис на проведення перевірки та службові посвідчення.
2. При проведенні перевірки стану ТЗІ контролю підлягають повнота та достатність упроваджених на об'єктах інформаційної діяльності заходів з ТЗІ, їх відповідність вимогам нормативно-правових актів, виконання рекомендацій щодо усунення порушень з ТЗІ.
3. За результатами перевірок посадовими особами ДРТЗІ складається відповідна довідка про результати перевірки стану ТЗІ.
4. Довідки про результати перевірок стану ТЗІ складаються в довільній формі. У довідці про результати перевірки мають бути відображені такі напрями роботи:
1) організаційні заходи із забезпечення ТЗІ;
2) заходи з технічного захисту мовної інформації;
3) заходи з технічного захисту державних інформаційних ресурсів та інформації, вимоги щодо захисту яких установлені законодавством України, що обробляються в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, засобах розмноження документів та інших технічних засобах, що використовуються для обробки такої інформації;
( Підпункт 3 пункту 4 розділу IV в редакції Наказу Міністерства внутрішніх справ № 494 від 15.08.2022; із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
4) заходи з технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, під час організації проектування будівництва, реконструкції та капітального ремонту об’єктів інформаційної діяльності;
5) заходи з технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, під час прийому іноземних делегацій, іноземців та осіб без громадянства.
5. Довідки про результати перевірок стану ТЗІ готуються у двох примірниках. Перший примірник довідки про результати перевірки надсилається до суб’єкту перевірки, другий - до ДРТЗІ.
6. Усі примірники довідки підписуються посадовими особами ДРТЗІ, які проводили перевірку.
Керівник або особа, яка виконує його обов’язки, суб’єкту перевірки, ознайомлюється з довідкою про результати перевірки та ставить свій підпис.
7. У разі відмови керівника суб’єкту перевірки, засвідчити факт ознайомлення з довідкою про результати перевірки своїм підписом посадові особи ДРТЗІ, що здійснювали перевірку, роблять у довідці відповідний запис про це.
8. У разі проведення перевірки в ході здійснення контролю за забезпеченням охорони державної таємниці її результати включаються окремим розділом до акта про результати перевірки стану охорони державної таємниці в суб’єктах перевірки.
( Розділ IV доповнено новим пунктом згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
V. Кваліфікація порушень вимог з ТЗІ
1. Порушення вимог з ТЗІ поділяються на три категорії, які визначають можливість реалізації загроз безпеці інформації:
1) перша категорія - невиконання вимог нормативно-правових актів та нормативних документів у сфері ТЗІ, унаслідок чого створюється реальна загроза для інформації;
( Підпункт 1 пункту 1 розділу V із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
2) друга категорія - невиконання вимог нормативно-правових актів та нормативних документів у сфері ТЗІ, унаслідок чого створюються передумови загрози для інформації;
( Підпункт 2 пункту 1 розділу V із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
3) третя категорія — невиконання вимог нормативно-правових актів і нормативних документів у сфері ТЗІ, унаслідок чого не створюються реальна загроза та/або передумови до загрози для інформації.
( Підпункт 3 пункту 1 розділу V в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
2. Кваліфікаційні ознаки порушень вимог з ТЗІ:
1) ознаки порушень першої категорії:
установлення факту циркуляції інформації, що становить державну таємницю, на об’єктах інформаційної діяльності, в ІКС за умови підтвердження інструментально-розрахунковими методами наявності технічного каналу витоку інформації;
установлення факту обробки інформації з обмеженим доступом та/або державних інформаційних ресурсів в ІКС, які мають вихід за межі контрольованої зони, за умови відсутності атестованої системи захисту інформації;
установлення факту обробки інформації з обмеженим доступом та/або державних інформаційних ресурсів в ІКС, з недотриманням умов доступу до її інформаційних ресурсів користувачів, які мають різні повноваження (права доступу до інформації);
( Абзац четвертий підпункту 1 пункту 2 розділу V із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
установлення факту несанкціонованого доступу користувачів ІКС до інформації з обмеженим доступом та/або державних інформаційних ресурсів в ІКС шляхом порушення встановлених правил розмежування доступу або подолання заходів захисту;
установлення факту обробки інформації з обмеженим доступом та/або державних інформаційних ресурсів в ІКС, які мають вихід за межі контрольованої зони, з недотриманням умов експлуатації атестованої системи захисту інформації;
( Абзац шостий підпункту 1 пункту 2 розділу Vв редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
установлення факту втручання в роботу системи, яке призвело до очищення журналу реєстрації подій та очищення гілки системного реєстру операційних систем;
установлення факту циркуляції інформації, що становить державну таємницю на об’єктах інформаційної діяльності, в ІКС з недотриманням умов експлуатації комплексу ТЗІ;
( Абзац восьмий підпункту 1 пункту 2 розділу V із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
визначення факту встановлення програмного забезпечення, що не має підтвердження відповідності або не оцінене під час державної експертизи, в ІКС, які мають вихід за межі контрольованої зони, що використовується для обробки інформації з обмеженим доступом;
( Абзац дев’ятий підпункту 1 пункту 2 розділу Vв редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
установлення факту циркуляції інформації, що становить державну таємницю на об’єктах інформаційної діяльності, в ІКС за умов непрацездатності комплексу ТЗІ;
установлення факту порушення налаштування параметрів політики безпеки в ІКС, які мають вихід за межі контрольованої зони, що використовуються для обробки інформації з обмеженим доступом та/або державних інформаційних ресурсів, відповідно до проєктної та робочої документації системи захисту інформації;
визначення факту встановлення програмного забезпечення, розробленого суб’єктом господарювання, до якого застосовано спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до Закону України "Про санкції";
( Підпункт 1 пункту 2 розділу V доповнено новим абзацом згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
2) ознаки порушень другої категорії:
установлення факту порушення налаштування параметрів політики безпеки в ІКС, які не мають виходу за межі контрольованої зони та використовуються для обробки інформації з обмеженим доступом та/або державних інформаційних ресурсів;
( Абзац другий підпункту 2 пункту 2 розділу V із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
установлення факту непрацездатності комплексу засобів захисту в ІКС, які не мають виходу за межі контрольованої зони та використовуються для обробки інформації з обмеженим доступом та/або державних інформаційних ресурсів;
установлення факту обробки інформації з обмеженим доступом та/або державних інформаційних ресурсів в ІКС, які не мають виходу за межі контрольованої зони, за умов відсутності атестованої системи захисту інформації;
установлення факту озвучування на об’єктах інформаційної діяльності інформації, що становить державну таємницю, та/або обробки секретної інформації в ІКС, які не мають виходу за межі контрольованої зони, за умов відсутності чинного акта атестації комплексу ТЗІ на об’єкт інформаційної діяльності;
установлення факту озвучування на об’єктах інформаційної діяльності інформації, що становить державну таємницю, та/або обробки секретної інформації в ІКС, які не мають виходу за межі контрольованої зони, за умов відсутності результатів періодичного інструментального контролю захищеності інформації від витоку технічними каналами на об’єктах інформаційної діяльності, де створені та атестовані комплекси ТЗІ;
установлення факту технічних оновлень (підтримки, виправлення) програмного забезпечення суб’єктами господарювання, до яких застосовуються персональні спеціальні економічні та інші обмежувальні заходи (санкції);
( Підпункт 2 пункту 2 розділу V доповнено новим абзацом згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
установлення факту обробки інформації з обмеженим доступом та/або державних інформаційних ресурсів в ІКС, які не мають виходу за межі контрольованої зони, з недотриманням умов експлуатації атестованої системи захисту інформації";
( Підпункт 2 пункту 2 розділу V доповнено новим абзацом згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
3) ознаки порушень третьої категорії:
установлення факту відсутності документів, що підтверджують впровадження організаційних та/або технічних заходів із захисту інформації, або їх невідповідності вимогам нормативних документів;
установлення фактів непроведення організаційних заходів щодо ТЗІ або їх проведення з порушенням вимог нормативно-правових або організаційно-розпорядчих актів у сфері ТЗІ;
установлення факту недотримання вимог законодавства власником системи щодо забезпечення захисту інформації в ІКС, що не призводить до порушення першої чи другої категорії;
інші порушення вимог нормативно-правових актів та нормативних документів у сфері ТЗІ, проєктної та експлуатаційної документації на КСЗІ та комплекси ТЗІ.
( Абзац п’ятий підпункту 3 пункту 2 розділу V із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
( Розділ V в редакції Наказу Міністерства внутрішніх справ № 494 від 15.08.2022 )
VI. Висновки перевірок стану ТЗІ та критерії їх складання
1. Висновок перевірки визначає оцінку стану ТЗІ, повноту та достатність заходів щодо впровадження комплексу ТЗІ (комплексної системи захисту інформації) та їх відповідність вимогам нормативно-правових актів з ТЗІ.
Основним критерієм відповідності стану ТЗІ вимогам нормативних документів у сфері ТЗІ та нормативно-правових актів є відсутність порушень ТЗІ.
( Абзац другий пункту 1 розділу IV із змінами, внесеними згідно з Наказом Міністерства внутрішніх справ № 276 від 18.04.2025 )
2. Критерії відповідності стану ТЗІ:
1) стан ТЗІ відповідає вимогам нормативно-правових актів.
Критерієм висновку є відсутність будь-яких порушень норм та вимог з ТЗІ;
2) стан ТЗІ відповідає вимогам нормативно-правових актів, за винятком виявлених недоліків.
Критерієм висновку є наявність хоча б одного порушення ТЗІ третьої категорії;
3) стан ТЗІ не повною мірою відповідає вимогам нормативно-правових актів, що створює передумови для порушення конфіденційності, цілісності, доступності та/або витоку технічними каналами інформації, вимога щодо захисту якої встановлена законом.
Критерієм висновку є наявність хоча б одного порушення ТЗІ другої категорії;
4) стан ТЗІ не відповідає вимогам нормативно-правових актів, що створює реальну можливість порушення конфіденційності, цілісності, доступності та/або витоку технічними каналами інформації, вимога щодо захисту якої встановлена законом.
Критерієм висновку є наявність хоча б одного порушення ТЗІ першої категорії.
3. Висновок за результатами контрольної перевірки, крім оцінки стану ТЗІ, відображає повноту виконання рекомендацій (виконано, не виконано, виконано не в повному обсязі) щодо приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативних документів у сфері ТЗІ, наданих в довідці попередньої перевірки.
4. Висновок за результатами цільової (тематичної) перевірки визначає оцінку стану ТЗІ в окремих напрямах організації роботи та складових комплексу ТЗІ (комплексної системи захисту інформації), що перевірялися.
5. З метою приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативних документів у сфері ТЗІ посадові особи ДРТЗІ, які здійснювали перевірку, у довідці про результати перевірки надають конкретні рекомендації щодо усунення виявлених порушень, виконання яких є обов'язковим для посадових осіб суб’єктів перевірки.
6. Для з’ясування причин, які призвели до порушень першої категорії, посадовими особами ДРТЗІ ініціюється проведення службового розслідування. Службові розслідування можуть також ініціюватися в разі порушень другої категорії, якщо встановлено факт циркуляції інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, на об’єктах інформаційної діяльності та/або ІКС за умови відсутності атестованої системи захисту інформації.
( Пункт 6 розділу IV в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )
7. З метою приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативних документів у сфері ТЗІ, а також виконання рекомендацій, наданих за результатами перевірки, керівниками суб’єктів перевірки, у місячний строк після отримання довідки про результати перевірки затверджується план усунення недоліків, один примірник якого надсилається до ДРТЗІ.
8. Повідомлення про виконання рекомендацій щодо приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативних документів у сфері ТЗІ надсилається до ДРТЗІ у строки, зазначені в довідці про результати перевірки та плані усунення недоліків.
9. Посадові особи суб’єктів перевірки, під час перевірки зобов'язані надавати всі необхідні для проведення перевірки документи та забезпечувати умови для її проведення.
| Директор Департаменту формування політики щодо підконтрольних Міністрові органів влади та моніторингу | В.Є. Боднар |
Додаток
до Положення про контроль
за станом технічного захисту
інформації в органах і підрозділах
Національної поліції України
(пункт 9 розділу II)
ПРИПИС
на проведення перевірки
( Див. текст )
( Додаток в редакції Наказу Міністерства внутрішніх справ № 276 від 18.04.2025 )