Про затвердження Положення про порядок розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації

На виконання пункту 2 постанови Кабінету Міністрів України від 13 березня 2002 року N 281 "Про деякі питання захисту інформації, охорона якої забезпечується державою" та з метою забезпечення єдиного порядку розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації

1. Затвердити Положення про порядок розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації (далі - Положення), що додається.

2. Заступнику начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України - начальнику Головного управління Котельчуку І.А. забезпечити подання в установленому порядку Положення на державну реєстрацію до Міністерства юстиції України.

3. Визнати таким, що втратив чинність, наказ Державної служби України з питань технічного захисту інформації від 1 липня 1996 р. N 44 "Про затвердження Положення про порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації", зареєстрований в Мінюсті України 18.07.1996 р. N 366/1391.

4. Контроль за виконанням цього наказу покласти на першого заступника начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України Барлабанова В.В.

1.1. Це Положення визначає порядок розроблення, погодження, затвердження, реєстрації та видання нових, перегляду і скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного захисту інформації, що не належать до нормативних документів із стандартизації, але є обов'язковими для виконання всіма органами виконавчої влади та місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства, підприємствами, установами й організаціями незалежно від форм власності (далі - організації), діяльність яких пов'язана з технічним захистом інформації.

1.2. Порядок викладення, оформлення та позначення нормативних документів системи технічного захисту інформації (далі - НД ТЗІ) встановлюється відповідними нормативними актами Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - ДСТСЗІ).

1.3. Підставою для розроблення НД ТЗІ можуть бути акти законодавства, державні програми розвитку технічного захисту інформації, інші програми науково-технічних робіт у галузі технічного захисту інформації.

1.4. Організацію робіт, пов'язаних із створенням НД ТЗІ, здійснює ДСТСЗІ.

2.1. Під час підготовки до розроблення НД ТЗІ визначається доцільність його створення, черговість робіт, а також можливі виконавці проекту, джерела фінансування тощо.

2.2. Розробляти НД ТЗІ може окрема організація, творчий колектив, група спеціалістів (далі - організація-розробник).

2.3. Розроблення НД ТЗІ може здійснюватися на засадах, передбачених законодавством щодо закупівель послуг за рахунок державних коштів, або за ініціативою організації-розробника за власні кошти.

2.4. Організацією - замовником міжвідомчих НД ТЗІ може бути ДСТСЗІ або міністерство чи інший центральний орган виконавчої влади за погодженням з ДСТСЗІ.

2.5. Проект НД ТЗІ розробляється відповідно до договору (контракту) між замовником і організацією-розробником, календарного плану та технічного завдання (додаток 1), а в разі розроблення НД ТЗІ за ініціативою організації-розробника - відповідно до технічного завдання, затвердженого ДСТСЗІ.

2.6. Стадії розроблення НД ТЗІ:

- опрацювання, погодження і затвердження технічного завдання;

- розроблення першої редакції проекту НД ТЗІ (розроблення, оформлення та надсилання для отримання відгуку);

- підготовка остаточної редакції проекту НД ТЗІ (аналіз відгуків, доопрацювання та оформлення, погодження, подання на затвердження).

2.7. Організація-розробник розробляє і погоджує з ДСТСЗІ технічне завдання на розроблення НД ТЗІ (далі - технічне завдання).

До технічного завдання додаються:

- перелік організацій, яким проект НД ТЗІ надсилається для отримання відгуку;

- перелік організацій, яким проект НД ТЗІ надсилається на погодження.

До переліку суб'єктів, з якими погоджується проект НД ТЗІ, включаються організації та установи, до компетенції яких повністю або частково належать встановлення вимог нормативного документа, що розробляється.

2.8. Зміни до технічного завдання розробляються, погоджуються та затверджуються в тому самому порядку, що й основний документ.

2.9. Під час розроблення проекту НД ТЗІ використовуються результати експериментальних, науково-дослідних, дослідно-конструкторських робіт і міжнародний досвід у галузі технічного захисту інформації.

2.10. Одночасно з розробленням проекту НД ТЗІ складаються:

- пояснювальна записка;

- опис проекту у вигляді картки-паспорта (додаток 2) для оброблення на електронно-обчислювальних машинах і введення до банку даних автоматизованого інформаційного фонду ДСТСЗІ.

2.11. Пояснювальна записка повинна містити відомості про:

- підставу для розроблення і мету нормативного документа;

- взаємозв'язок з іншими нормативними документами;

- коротку характеристику положень, що містяться в проекті НД ТЗІ;

- джерела інформації, які були використані для підготовки проекту НД ТЗІ;

- надіслання на відгук та погодження проекту НД ТЗІ;

- інші дані.

Пояснювальна записка підписується керівником організації-розробника.

2.12. Якщо під час розроблення проекту нового НД ТЗІ виникає потреба у зміні, доповненні або скасуванні діючих нормативних документів, одночасно з розробленням проекту нового НД ТЗІ готуються обгрунтовані пропозиції про перегляд, зміну або скасування діючих.

2.13. Перша редакція проекту НД ТЗІ розглядається на засіданні науково-технічної ради організації-розробника або її відповідної секції, а в разі їх відсутності - відповідним колегіальним органом. У разі схвалення проекту НД ТЗІ він надсилається на відгук організаціям згідно з переліком, зазначеним у додатку до технічного завдання.

Організації, яким надано проект НД ТЗІ для отримання відгуку, повертають останній у термін, що не перевищує одного місяця з дня одержання проекту, разом із зауваженнями та пропозиціями до нього, підписаними керівником організації або його заступником. Відгуки, направлені після встановленого строку, розглядаються розробником на свій розсуд.

2.14. Організація-розробник на підставі зауважень і пропозицій, що містяться у відгуках, доопрацьовує проект НД ТЗІ, уточнює пояснювальну записку і картку-паспорт, готує зведення відгуків.

2.15. Доопрацьований проект НД ТЗІ разом з пояснювальною запискою та зведенням відгуків організація-розробник надсилає на погодження організаціям згідно з переліком, зазначеним у додатку до технічного завдання.

Організації, з якими погоджується проект НД ТЗІ, повертають останній у термін, що не перевищує десяти днів з дня одержання проекту, разом з відповідним висновком, підписаним керівником організації або його заступником.

2.16. Остаточна редакція проекту НД ТЗІ після врахування зауважень і пропозицій організацій, з якими він погоджувався, обговорюється на засіданні науково-технічної ради організації-розробника або її відповідної секції, а в разі їх відсутності - відповідного колегіального органу, де приймається рішення про подання проекту на затвердження ДСТСЗІ.

2.17. Проект НД ТЗІ подається на затвердження ДСТСЗІ у трьох примірниках (оригінал і дві копії) державною мовою разом із супровідним листом, підписаним керівником організації-розробника.

До проекту НД ТЗІ додаються:

- технічне завдання на розробку НД ТЗІ;

- пояснювальна записка;

- магнітна дискета із записом тексту нормативного документа державною мовою;

- опис проекту у вигляді картки-паспорта;

- оригінали документів, що підтверджують його погодження;

- зведення відгуків;

- матеріали експертизи (у разі потреби);

- рішення науково-технічної ради організації-розробника або її відповідної секції, а в разі їх відсутності - відповідного колегіального органу.

2.18. Поданий проект НД ТЗІ розглядає науково-технічна рада ДСТСЗІ або її відповідна секція у термін, що не перевищує двох місяців з дня його надходження, і приймає рішення про затвердження проекту або повернення його на доопрацювання.

Науково-технічна рада ДСТСЗІ або її відповідна секція у разі потреби може прийняти рішення про проведення експертизи проекту НД ТЗІ.

У разі проведення експертизи термін розгляду проекту НД ТЗІ може бути продовжений на час її проведення, але не більше ніж на один місяць.

3.1. НД ТЗІ затверджується наказом ДСТСЗІ, де визначається дата надання йому чинності.

Під час реєстрації НД ТЗІ, яка провадиться в книзі за формою згідно з додатком 3, документу присвоюється відповідний номер.

3.2. Оригінал НД ТЗІ разом з додатками залишаються в ДСТСЗІ, другий примірник надсилається для тиражування, третій - повертається організації-розробнику. Зміст картки-паспорта вводиться до банку даних автоматизованого інформаційного фонду ДСТСЗІ.

4.1. Дані про затвердження і набрання чинності НД ТЗІ, що має міжвідомчий характер, публікуються в журналах "Бизнес и безопасность" та (або) "Безопасность информации", а також розміщуються на WEB-сайті ДСТСЗІ.

4.2. Тиражування і розповсюдження НД ТЗІ здійснюються за погодженням з ДСТСЗІ.

5.1. Перегляд НД ТЗІ провадиться у міру потреби за рішенням науково-технічної ради ДСТСЗІ або її відповідної секції, але не рідше ніж один раз на п'ять років.

НД ТЗІ перевіряється структурними підрозділами ДСТСЗІ, організацією-розробником або на договірній основі іншою організацією на відповідність положенням міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України, законам України та нормативним актам, сучасному рівню можливостей порушення безпеки інформації та розвитку науки і техніки в галузі технічного захисту інформації.

За результатами перевірки науково-технічна рада ДСТСЗІ або її відповідна секція приймає рішення про необхідність розроблення нового НД ТЗІ, внесення змін до чинного НД ТЗІ, про подальше його застосування або скасування.

5.2. Розроблення, погодження та затвердження змін до чинного НД ТЗІ, їх реєстрація здійснюються в порядку, установленому для розроблення, погодження та затвердження НД ТЗІ, що розробляється вперше.

6.1. Скасування НД ТЗІ здійснюється наказом ДСТСЗІ за погодженням з організаціями, що узгоджували проект, відповідно до рішення науково-технічної ради ДСТСЗІ або її відповідної секції у разі розроблення нової редакції або встановлення недоцільності подальшого його застосування.

Рішення про скасування НД ТЗІ приймається не пізніше ніж за два місяці до визначеної дати скасування.

6.2. На підставі рішення про скасування НД ТЗІ вносяться відповідні зміни до банку даних автоматизованого інформаційного фонду ДСТСЗІ і публікується необхідна інформація в журналах "Бизнес и безопасность" та (або) "Безопасность информации", а також розміщується на WEB-сайті ДСТСЗІ.