Про затвердження Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України

Відповідно до Законів України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229, з метою посилення контролю за станом технічного захисту інформації в органах і підрозділах Національної поліції України НАКАЗУЮ:

1. Затвердити Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України, що додається.

2. Департаменту формування політики щодо підконтрольних Міністрові органів влади та моніторингу МВС (Боднар В.Є.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Контроль за виконанням цього наказу покласти на Голову Національної поліції України Х. Деканоідзе.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Це Положення визначає порядок організації та здійснення контролю Національною поліцією України (далі - НПУ) за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, у підрозділах центрального органу управління НПУ, територіальних (у тому числі міжрегіональних) органах в Автономній Республіці Крим, областях, містах Києві та Севастополі, районах, містах, районах у містах, а також установах забезпечення НПУ (далі - органи, щодо яких здійснюється ТЗІ).

2. Контроль за станом технічного захисту інформації (далі - ТЗІ) в органах і підрозділах НПУ здійснюється Управлінням режиму та технічного захисту інформації Національної поліції України (далі - УРТЗІ НПУ).

Контроль за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, здійснюється в органах, щодо яких здійснюється ТЗІ.

3. У цьому Положенні наведені нижче терміни вживаються в таких значеннях:

контрольно-інспекторська робота з питань ТЗІ - діяльність, спрямована на визначення та вдосконалення стану ТЗІ в органах, щодо яких здійснюється ТЗІ;

об'єкт інформаційної діяльності - інженерно-технічна споруда (приміщення), транспортний засіб, де провадиться діяльність, пов'язана з державними інформаційними ресурсами та інформацією, вимога щодо захисту якої встановлена законом;

передумови витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за відсутності підтвердженої відповідності впроваджених заходів вимогам та нормам з ТЗІ;

порушення у сфері ТЗІ - невиконання вимог нормативно-правових актів та нормативно-технічних документів системи ТЗІ за категоріями, які визначають можливість реалізації загроз безпеці інформації;

реальна загроза витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за умови підтвердження відповідними інструментально-розрахунковими методами невідповідності впроваджених заходів вимогам та нормам з ТЗІ;

технічний канал витоку інформації - сукупність джерела інформації, середовища її поширення та технічних засобів розвідки.

Інші терміни вживаються в цьому Положенні у значеннях, визначених у Законах України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України".

4. Контроль за станом ТЗІ полягає в перевірці виконання вимог нормативно-правових актів і нормативно-технічних документів з ТЗІ та здійснюється з метою визначення стану ТЗІ в органах, щодо яких здійснюється ТЗІ, виявлення порушень з ТЗІ та запобігання ним.

5. Контроль за станом ТЗІ здійснюється УРТЗІ НПУ шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ стосовно органів, щодо яких здійснюється ТЗІ.

6. Контроль заходів з ТЗІ в органах, щодо яких здійснюється ТЗІ, виконується відповідними підрозділами, на які письмовим наказом керівника територіального (у тому числі міжрегіонального) органу поліції покладено забезпечення ТЗІ в цих органах (далі - підрозділи ТЗІ).

7. Відповідальними особами за організацію та контроль заходів з ТЗІ в органах, щодо яких здійснюється ТЗІ, є їх керівники.

8. Контрольно-інспекторська робота з питань ТЗІ включає планування та проведення перевірок стану ТЗІ (далі - перевірки) в органах, щодо яких здійснюється ТЗІ, аналіз їх результатів та надання рекомендацій щодо вдосконалення заходів з ТЗІ.

9. За результатами контрольно-інспекторської роботи проводиться аналіз та узагальнення стану ТЗІ в органах, щодо яких здійснюється ТЗІ.

Аналітичні матеріали щодо стану ТЗІ в органах, щодо яких здійснюється ТЗІ, доповідаються Голові НПУ або його заступникові відповідно до розподілу функціональних обов’язків.

1. Перевірки стану ТЗІ діляться на комплексні, цільові (тематичні) та контрольні. Зазначені перевірки можуть бути плановими та позаплановими.

2. При комплексній перевірці визначається відповідність комплексу ТЗІ (комплексної системи захисту інформації) вимогам нормативно-правових актів та нормативно-технічних документів системи ТЗІ.

3. При цільовій (тематичній) перевірці перевіряються окремі складові комплексу ТЗІ (комплексної системи захисту інформації) на відповідність упроваджених заходів вимогам нормативно-правових актів та нормативно-технічних документів системи ТЗІ.

4. При контрольній перевірці перевіряються повнота та достатність проведених заходів щодо усунення недоліків, які були виявлені в ході проведення попередньої комплексної або цільової перевірки. Контрольні перевірки проводяться після отримання письмового повідомлення про усунення недоліків.

5. Планові перевірки здійснюються згідно з планом основних організаційних і практичних заходів УРТЗІ НПУ, який затверджується начальником УРТЗІ НПУ.

6. Позапланові перевірки проводяться в разі наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ або в разі виникнення потреби у визначенні повноти та достатності заходів з ТЗІ, ужитих органами, щодо яких здійснюється ТЗІ. Зазначені перевірки можуть проводитися з попередженням або без попередження керівників органів, щодо яких здійснюється ТЗІ.

7. Керівництво органів, щодо яких здійснюється ТЗІ, повідомляється про проведення перевірки не менше ніж за десять діб до її початку (за винятком проведення позапланової перевірки).

8. Перевірки стану ТЗІ здійснюються посадовими особами УРТЗІ НПУ, на яке покладено виконання завдань щодо здійснення контролю за станом ТЗІ.

9. Підставою для допуску посадових осіб УРТЗІ НПУ до перевірки та надання документів, необхідних для її проведення (у тому числі з обмеженим доступом), є наявність припису на проведення перевірки, форму якого визначено у додатку до цього Положення, за підписом Голови НПУ або його заступника відповідно до розподілу функціональних обов’язків, та інших документів з дотриманням вимог законодавства про державну таємницю.

1. Посадові особи УРТЗІ НПУ, які здійснюють перевірку стану ТЗІ, мають право на:

1) доступ на об'єкти інформаційної діяльності органів, щодо яких здійснюється ТЗІ, для здійснення контролю за станом ТЗІ, а також до інших приміщень (на територію, у споруди, будівлі, кабінети) для вивчення питань, безпосередньо пов'язаних з перевіркою;

2) ознайомлення з будь-якими документами, необхідними для перевірки;

3) отримання копій необхідних документів, письмових пояснень посадових осіб (довідок, рапортів) з питань, що виникають під час перевірки;

4) надання за результатами перевірок обов’язкових для виконання рекомендацій щодо приведення стану ТЗІ у відповідність до вимог чинного законодавства України та здійснення контролю за їх виконанням;

5) порушення питання перед керівниками органів, щодо яких здійснюється ТЗІ, стосовно проведення службового розслідування (перевірки) при невиконанні вимог нормативно-правових актів і нормативно-технічних документів з питань технічного захисту інформації, вимога щодо захисту якої встановлена законом.

2. Посадові особи УРТЗІ НПУ у разі виявлення порушень норм і вимог з ТЗІ першої або другої категорії мають право порушувати питання щодо призупинення дій відповідних актів атестації комплексів ТЗІ та атестатів відповідності комплексної системи захисту інформації в автоматизованих системах, про що надсилається відповідний запит до Держспецзв’язку.

У випадку виявлення порушень норм і вимог з ТЗІ першої або другої категорії керівник органу, щодо якого здійснюється ТЗІ, негайно видає письмовий наказ про припинення обробки інформації, вимога щодо захисту якої встановлена законом, або державних інформаційних ресурсів на об’єктах інформаційної діяльності (у тому числі на об’єктах електронно-обчислювальної техніки), де були виявлені зазначені порушення.

Дозвіл на відновлення обробки інформації на об’єктах інформаційної діяльності (у тому числі на об’єктах електронно-обчислювальної техніки), де були виявлені порушення норм і вимог з ТЗІ першої або другої категорії, дає керівник органу, щодо якого здійснюється ТЗІ, за погодженням з Держспецзв’язку після усунення порушень.

1. Для проведення перевірки стану ТЗІ посадові особи УРТЗІ НПУ пред'являють керівникові органу, щодо якого здійснюється ТЗІ, або особі, яка виконує його обов’язки, припис на проведення перевірки та службові посвідчення.

2. При проведенні перевірки стану ТЗІ контролю підлягають повнота та достатність упроваджених на об'єктах інформаційної діяльності заходів з ТЗІ, їх відповідність вимогам нормативно-правових актів, виконання рекомендацій щодо усунення порушень з ТЗІ.

3. За результатами перевірок посадовими особами УРТЗІ НПУ складається відповідна довідка про результати перевірки стану ТЗІ.

4. Довідки про результати перевірок стану ТЗІ складаються в довільній формі. У довідці про результати перевірки мають бути відображені такі напрями роботи:

1) організаційні заходи із забезпечення ТЗІ;

2) заходи з технічного захисту мовної інформації;

3) заходи з технічного захисту державних інформаційних ресурсів та інформації, вимоги щодо захисту яких установлені законодавством України, що обробляються в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі - ІКС), засобах розмноження документів та інших технічних засобах, що використовуються для обробки такої інформації;

4) заходи з технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, під час організації проектування будівництва, реконструкції та капітального ремонту об’єктів інформаційної діяльності;

5) заходи з технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, під час прийому іноземних делегацій, іноземців та осіб без громадянства.

5. Довідки про результати перевірок стану ТЗІ готуються у двох примірниках. Перший примірник довідки про результати перевірки надсилається до органу, щодо якого здійснюється ТЗІ, другий - до УРТЗІ НПУ.

6. Усі примірники довідки підписуються посадовими особами УРТЗІ НПУ, які проводили перевірку.

Керівник або особа, яка виконує його обов’язки, органу, щодо якого здійснюється ТЗІ, ознайомлюється з довідкою про результати перевірки та ставить свій підпис.

7. У разі відмови керівника органу, щодо якого здійснюється ТЗІ, засвідчити факт ознайомлення з довідкою про результати перевірки своїм підписом посадові особи УРТЗІ НПУ, що здійснювали перевірку, роблять у довідці відповідний запис про це.

1. Порушення вимог з ТЗІ поділяються на три категорії, які визначають можливість реалізації загроз безпеці інформації:

1) перша категорія - невиконання вимог нормативно-правових актів та нормативних документів у сфері ТЗІ, унаслідок чого створюється реальна загроза порушення конфіденційності (зокрема, за рахунок витоку (просочення) технічними каналами) та (або) цілісності й доступності інформації;

2) друга категорія - невиконання вимог нормативно-правових актів та нормативних документів у сфері ТЗІ, унаслідок чого створюються передумови для порушення конфіденційності (зокрема, за рахунок витоку (просочення) технічними каналами) та (або) цілісності й доступності інформації;

3) третя категорія - невиконання інших вимог з ТЗІ.

2. Кваліфікаційні ознаки порушень вимог з ТЗІ:

1) ознаки порушень першої категорії:

установлення факту циркуляції інформації, що становить державну таємницю, на об’єктах інформаційної діяльності, в ІКС за умови підтвердження інструментально-розрахунковими методами наявності технічного каналу витоку інформації;

установлення факту обробки інформації з обмеженим доступом та (або) державних інформаційних ресурсів в ІКС, які мають вихід за межі контрольованої зони, за умови відсутності атестованої системи захисту інформації;

установлення факту обробки інформації з обмеженим доступом в ІКС, з недотриманням умов доступу до її інформаційних ресурсів користувачів, які мають різні повноваження (права доступу до інформації);

установлення факту несанкціонованого доступу користувачів ІКС до інформації з обмеженим доступом та (або) державних інформаційних ресурсів в ІКС шляхом порушення встановлених правил розмежування доступу або подолання заходів захисту;

установлення факту обробки інформації з обмеженим доступом в ІКС з недотриманням умов експлуатації атестованої системи захисту інформації;

установлення факту втручання в роботу системи, яке призвело до очищення журналу реєстрації подій та очищення гілки системного реєстру операційних систем;

установлення факту циркуляції інформації, що становить державну таємницю на об’єктах інформаційної діяльності, в ІКС з недотриманням умов експлуатації комплексу ТЗІ шляхом порушення зон безпеки інформації для основних технічних засобів та інших вимог, зазначених у приписах на експлуатацію основних технічних засобів та об’єктів інформаційної діяльності;

установлення факту озвучування на об’єктах інформаційної діяльності інформації, що становить державну таємницю, з недотриманням умов експлуатації комплексу ТЗІ на об’єкті інформаційної діяльності;

установлення факту циркуляції інформації, що становить державну таємницю на об’єктах інформаційної діяльності, в ІКС за умов непрацездатності комплексу ТЗІ;

установлення факту порушення налаштування параметрів політики безпеки в ІКС, які мають вихід за межі контрольованої зони, що використовуються для обробки інформації з обмеженим доступом та (або) державних інформаційних ресурсів, відповідно до проєктної та робочої документації системи захисту інформації;

2) ознаки порушень другої категорії:

установлення факту порушення налаштування параметрів політики безпеки в ІКС, які не мають виходу за межі контрольованої зони та використовуються для обробки інформації з обмеженим доступом та (або) державних інформаційних ресурсів, відповідно до проєктної та робочої документації системи захисту інформації;

установлення факту непрацездатності комплексу засобів захисту в ІКС, які не мають виходу за межі контрольованої зони та використовуються для обробки інформації з обмеженим доступом та (або) державних інформаційних ресурсів;

установлення факту обробки інформації з обмеженим доступом та (або) державних інформаційних ресурсів в ІКС, які не мають виходу за межі контрольованої зони, за умов відсутності атестованої системи захисту інформації;

установлення факту озвучування на об’єктах інформаційної діяльності інформації, що становить державну таємницю, та (або) обробки секретної інформації в ІКС, які не мають виходу за межі контрольованої зони, за умов відсутності чинного акта атестації комплексу ТЗІ на об’єкт інформаційної діяльності;

установлення факту озвучування на об’єктах інформаційної діяльності інформації, що становить державну таємницю, та (або) обробки секретної інформації в ІКС, які не мають виходу за межі контрольованої зони, за умов відсутності результатів періодичного інструментального контролю захищеності інформації від витоку технічними каналами на об’єктах інформаційної діяльності, де створені та атестовані комплекси ТЗІ;

3) ознаки порушень третьої категорії:

установлення факту відсутності документів, що підтверджують впровадження організаційних та (або) технічних заходів із захисту інформації, або їх невідповідності вимогам нормативних документів;

установлення фактів непроведення організаційних заходів щодо ТЗІ або їх проведення з порушенням вимог нормативно-правових або організаційно-розпорядчих актів у сфері ТЗІ;

установлення факту недотримання вимог законодавства власником системи щодо забезпечення захисту інформації в ІКС, що не призводить до порушення першої чи другої категорії;

інші порушення вимог нормативно-правових актів та нормативних документів у сфері ТЗІ.

1. Висновок перевірки визначає оцінку стану ТЗІ, повноту та достатність заходів щодо впровадження комплексу ТЗІ (комплексної системи захисту інформації) та їх відповідність вимогам нормативно-правових актів з ТЗІ.

Основним критерієм відповідності стану ТЗІ вимогам нормативно-технічних документів та нормативно-правових актів є відсутність порушень ТЗІ.

2. Критерії відповідності стану ТЗІ:

1) стан ТЗІ відповідає вимогам нормативно-правових актів.

Критерієм висновку є відсутність будь-яких порушень норм та вимог з ТЗІ;

2) стан ТЗІ відповідає вимогам нормативно-правових актів, за винятком виявлених недоліків.

Критерієм висновку є наявність хоча б одного порушення ТЗІ третьої категорії;

3) стан ТЗІ не повною мірою відповідає вимогам нормативно-правових актів, що створює передумови для порушення конфіденційності, цілісності, доступності та (або) витоку технічними каналами інформації, вимога щодо захисту якої встановлена законом.

Критерієм висновку є наявність хоча б одного порушення ТЗІ другої категорії;

4) стан ТЗІ не відповідає вимогам нормативно-правових актів, що створює реальну можливість порушення конфіденційності, цілісності, доступності та (або) витоку технічними каналами інформації, вимога щодо захисту якої встановлена законом.

Критерієм висновку є наявність хоча б одного порушення ТЗІ першої категорії.

3. Висновок за результатами контрольної перевірки, крім оцінки стану ТЗІ, відображає повноту виконання рекомендацій (виконано, не виконано, виконано не в повному обсязі) щодо приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативно-технічних документів з ТЗІ, наданих в довідці попередньої перевірки.

4. Висновок за результатами цільової (тематичної) перевірки визначає оцінку стану ТЗІ в окремих напрямах організації роботи та складових комплексу ТЗІ (комплексної системи захисту інформації), що перевірялися.

5. З метою приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативно-технічних документів з ТЗІ посадові особи УРТЗІ НПУ, які здійснювали перевірку, у довідці про результати перевірки надають конкретні рекомендації щодо усунення виявлених порушень, виконання яких є обов'язковим для посадових осіб органів, щодо яких здійснюється ТЗІ.

6. Для з'ясування причин, які призвели до порушень першої категорії, а також притягнення осіб, які їх учинили, до відповідальності посадовими особами УРТЗІ НПУ ініціюється проведення відповідних службових розслідувань (перевірок). Службові розслідування (перевірки) можуть також ініціюватися при порушеннях другої категорії в разі установлення факту обробки інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, на неатестованих об’єктах інформаційної діяльності.

7. З метою приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативно-технічних документів з ТЗІ, а також виконання рекомендацій, наданих за результатами перевірки, керівниками органів, щодо яких здійснюється ТЗІ, у місячний строк після отримання довідки про результати перевірки затверджується план усунення недоліків, один примірник якого надсилається до УРТЗІ НПУ.

8. Повідомлення про виконання рекомендацій щодо приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативно-технічних документів з ТЗІ надсилається до УРТЗІ НПУ у строки, зазначені в довідці про результати перевірки та плані усунення недоліків.

9. Посадові особи органів, щодо яких здійснюється ТЗІ, під час перевірки зобов'язані надавати всі необхідні для проведення перевірки документи та забезпечувати умови для її проведення.