МІНІСТЕРСТВО ВНУТРІШНІХ СПРАВ УКРАЇНИ
НАКАЗ
| 18.04.2025 м. Київ № 276 |
Зареєстровано в Міністерстві юстиції України
05 травня 2025 р. за № 672/44078
Про затвердження Змін до Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України
Відповідно до Законів України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229/99, підпункту 4 пункту 5 Положення про Національну поліцію, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2015 року № 877, з метою приведення нормативно-правового акта Міністерства внутрішніх справ України з питань діяльності поліції у відповідність до законодавства
НАКАЗУЮ:
1. Затвердити Зміни до Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України, затвердженого наказом Міністерства внутрішніх справ України від 29 лютого 2016 року № 139, зареєстрованого в Міністерстві юстиції України 23 березня 2016 року за № 431/28561, що додаються.
2. Департаменту взаємодії з Національною поліцією України Міністерства внутрішніх справ України (Грінцов М.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
| Міністр | Ігор КЛИМЕНКО |
| ПОГОДЖЕНО: | |
| Голова Національної поліції України | Іван ВИГІВСЬКИЙ |
| Голова Державної служби спеціального зв'язку та захисту інформації України | Олександр ПОТІЙ |
ЗАТВЕРДЖЕНО
Наказ Міністерства внутрішніх справ України
18 квітня 2025 року № 276
Зміни
до Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України
1. У розділі I:
1) пункт 1 викласти в такій редакції:
"1. Це Положення визначає порядок організації та здійснення Національною поліцією України контролю за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом (далі - контроль за станом технічного захисту інформації), у структурних підрозділах центрального органу управління поліції, територіальних (у тому числі міжрегіональних) органах поліції та їх територіальних (відокремлених) підрозділах, а також в установах, закладах та організаціях, що належать до сфери управління Національної поліції України (далі - суб'єкти перевірки)";
2) пункт 2 викласти в такій редакції:
"2. Контроль за станом технічного захисту інформації в суб'єктах перевірки здійснюється Департаментом режиму та технічного захисту інформації Національної поліції України (далі - ДРТЗІ)";
3) пункт 3 викласти в такій редакції:
"3. У цьому Положенні терміни вживаються в такому значенні:
висновок перевірки - результат оцінки стану захисту інформації, повноти та достатності заходів щодо захисту інформації та їх відповідності вимогам нормативно-правових актів і нормативних документів у сфері технічного захисту інформації (далі - ТЗІ);
внутрішній контроль за станом технічного захисту інформації - заходи з контролю, що проводяться територіальними (у тому числі міжрегіональними) органами поліції в підпорядкованих підрозділах з метою отримання інформації про стан ТЗІ;
контрольована зона - територія (простір) навколо об'єкта інформаційної діяльності, на якій (у межах якої) виключено несанкціоноване розташування технічних і транспортних засобів та неконтрольоване перебування сторонніх осіб;
контрольно-інспекторська робота з питань ТЗІ - діяльність щодо визначення та вдосконалення стану ТЗІ суб'єктів перевірки;
об'єкт інформаційної діяльності (далі - ОІД) - інженерно-технічна споруда (будівля, приміщення тощо), відокремлена територія (зона), транспортний засіб, намет, де провадиться діяльність, пов'язана з державними інформаційними ресурсами та інформацією, вимога щодо захисту якої встановлена законом;
передумови до реалізації загрози для інформації - обставини (недостатність упроваджених заходів із захисту інформації, людський фактор), унаслідок яких можливе виникнення загроз для інформації, вимога щодо захисту якої встановлена законом, стосовно порушення її конфіденційності, цілісності й доступності;
перешкоджання проведенню перевірки - відмова керівника або уповноважених представників суб'єкта перевірки у провадженні діяльності посадовими особами, які проводять перевірку, у наданні доступу до об'єкта (об'єктів) перевірки, повної та достовірної інформації, документів щодо предмета перевірки, а також невиконання інших обов'язків, визначених цим Положенням;
порушення у сфері ТЗІ - невиконання вимог нормативно-правових актів і нормативних документів у сфері ТЗІ за категоріями, які визначають імовірну можливість та/або факт реалізації загроз для інформації;
реальна загроза для інформації - недостатність упроваджених заходів із захисту інформації, унаслідок чого створено загрози для інформації, вимога щодо захисту якої встановлена законом, стосовно порушення її конфіденційності, цілісності й доступності;
технічний канал витоку інформації - взаємопов'язана сукупність джерела небезпечного сигналу, середовища його поширення та засобу технічної розвідки, спрямована на несанкціоноване зняття (перехоплення) інформації.
Інші терміни в цьому Положенні вживаються у значеннях, наведених у Законах України "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України"";
4) пункт 6 викласти в такій редакції:
"6. Внутрішній контроль за станом ТЗІ в суб'єктах перевірки виконується відповідними підрозділами, на які письмовим наказом керівника територіального (у тому числі міжрегіонального) органу поліції покладено забезпечення ТЗІ в цих органах (далі - підрозділи ТЗІ), на підставі організаційно-розпорядчих документів, розроблених суб'єктами перевірки та погоджених із ДРТЗІ";
5) у пункті 7 слова "та контроль заходів з ТЗІ в органах, щодо яких здійснюється ТЗІ," замінити словами "внутрішнього контролю за станом ТЗІ в територіальних (у тому числі міжрегіональних) органах поліції";
6) в абзаці другому пункту 9 слова "в органах, щодо яких здійснюється ТЗІ, доповідаються Голові НПУ" замінити словами "в суб'єктах перевірки доповідаються Голові Національної поліції України";
2. У розділі II:
1) пункт 2 викласти в такій редакції:
"2. У ході комплексної перевірки визначається відповідність упроваджених заходів із ТЗІ в інформаційно-комунікаційних системах (далі - ІКС), а також на ОІД, де передбачено обробку мовної інформації, що становить державну таємницю, вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ";
2) пункт 3 викласти в такій редакції:
"3. Під час цільової (тематичної) перевірки перевіряються окремі питання щодо впроваджених заходів із ТЗІ в окремих ІКС та/або на ОІД на відповідність вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ";
3) у пункті 5 слова "який затверджується начальником УРТЗІ НПУ" виключити;
4) у пункті 7 слова "Керівництво органів, щодо яких здійснюється ТЗІ, повідомляється про проведення перевірки не менше ніж" замінити словами "Керівництву суб'єктів перевірки повідомляється про проведення перевірки не пізніше ніж";
5) у пункті 9 слова "НПУ або його заступника відповідно до розподілу функціональних обов'язків" замінити словами "Національної поліції України або особи, яка виконує його обов'язки";
6) доповнити новим пунктом такого змісту:
"10. Перевірки щодо інформації, що становить державну таємницю, можуть проводитися в ході здійснення контролю за забезпеченням охорони державної таємниці в суб'єктах перевірки згідно з вимогами Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженого постановою Кабінету Міністрів України від 18 грудня 2013 року № 939.
У цьому разі контроль за станом ТЗІ здійснюється комісією ДРТЗІ з перевірки стану охорони державної таємниці.
Під час такої перевірки перевіряються питання щодо впроваджених заходів із ТЗІ в ІКС та/або на ОІД, де передбачено обробку інформації, що становить державну таємницю, на відповідність вимогам нормативно-правових актів і нормативних документів у сфері ТЗІ".
3. У розділі III:
1) пункт 1 викласти в такій редакції:
"1. Посадові особи ДРТЗІ, які здійснюють перевірку стану ТЗІ, мають право на:
1) доступ (з дотриманням вимог нормативно-правових актів щодо охорони державної таємниці в Україні) до ОІД суб'єктів перевірки для здійснення контролю за станом ТЗІ, а також до інших приміщень (на територію, у споруди, будівлі, кабінети) для вивчення питань, безпосередньо пов'язаних із перевіркою;
2) доступ до ІКС (крім інформаційних ресурсів ІКС, що мають атестовані системи захисту інформації) з метою отримання інформації, яка необхідна для з'ясування стану захищеності ІКС;
3) ознайомлення з будь-якими документами, необхідними для перевірки;
4) отримання копій необхідних документів, письмових пояснень (довідок, рапортів) посадових осіб з питань, що виникають під час проведення перевірки;
5) висування за результатами перевірок вимог щодо приведення стану ТЗІ у відповідність до законодавства та здійснення контролю за їх виконанням;
6) порушення перед керівниками суб'єктів перевірки питання щодо проведення службового розслідування в разі невиконання вимог нормативно-правових актів і нормативних документів у сфері технічного захисту інформації, вимога щодо захисту якої встановлена законом";
2) пункт 2 викласти в такій редакції:
"2. Посадові особи ДРТЗІ в разі виявлення порушень норм і вимог з ТЗІ першої або другої категорії на об'єктах інформаційної діяльності та в ІКС мають право порушувати питання щодо призупинення або скасування дії відповідних актів атестації комплексів ТЗІ, декларацій та атестатів відповідності комплексної системи захисту інформації в автоматизованих системах, про що повідомляється Адміністрації Держспецзв'язку.
У разі виявлення порушень норм і вимог із ТЗІ першої або другої категорії керівник суб'єкта перевірки негайно видає письмовий наказ про припинення обробки інформації, вимога щодо захисту якої встановлена законом, або державних інформаційних ресурсів на об'єктах інформаційної діяльності та/або в ІКС, де були виявлені зазначені порушення.
Дозвіл на відновлення обробки інформації на об'єктах інформаційної діяльності та/або ІКС, де були виявлені порушення норм і вимог з ТЗІ першої або другої категорії, дає керівник суб'єкта перевірки за погодженням з ДРТЗІ після усунення порушень, про що повідомляється Адміністрації Держспецзв'язку".
4. У розділі IV:
1) у підпункті 3 пункту 4 слова "(далі - ІКС)" виключити;
2) доповнити новим пунктом такого змісту:
"8. У разі проведення перевірки в ході здійснення контролю за забезпеченням охорони державної таємниці її результати включаються окремим розділом до акта про результати перевірки стану охорони державної таємниці в суб'єктах перевірки".
5. У розділі V:
1) у пункті 1:
у підпункті 1 слова "порушення конфіденційності (зокрема, за рахунок витоку (просочення) технічними каналами) та/або цілісності й доступності" замінити словом "для";
у підпункті 2 слова "для порушення конфіденційності (зокрема, за рахунок витоку (просочення) технічними каналами) та/або цілісності й доступності" замінити словами "загрози для";
підпункт 3 викласти в такій редакції:
"3) третя категорія - невиконання вимог нормативно-правових актів і нормативних документів у сфері ТЗІ, унаслідок чого не створюються реальна загроза та/або передумови до загрози для інформації";
2) у пункті 2:
у підпункті 1:
абзац четвертий після слів "інформації з обмеженим доступом" доповнити словами "та/або державних інформаційних ресурсів";
абзац шостий викласти в такій редакції:
"установлення факту обробки інформації з обмеженим доступом та/або державних інформаційних ресурсів в ІКС, які мають вихід за межі контрольованої зони, з недотриманням умов експлуатації атестованої системи захисту інформації";
в абзаці восьмому слова "шляхом порушення зон безпеки інформації для основних технічних засобів та інших вимог, зазначених у приписах на експлуатацію основних технічних засобів та об'єктів інформаційної діяльності" виключити;
абзац дев'ятий викласти в такій редакції:
"визначення факту встановлення програмного забезпечення, що не має підтвердження відповідності або не оцінене під час державної експертизи, в ІКС, які мають вихід за межі контрольованої зони, що використовується для обробки інформації з обмеженим доступом";
доповнити новим абзацом такого змісту:
"визначення факту встановлення програмного забезпечення, розробленого суб'єктом господарювання, до якого застосовано спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до Закону України "Про санкції"";
у підпункті 2:
в абзаці другому слова ", відповідно до проєктної та робочої документації системи захисту інформації" виключити;
доповнити двома новими абзацами такого змісту:
"установлення факту технічних оновлень (підтримки, виправлення) програмного забезпечення суб'єктами господарювання, до яких застосовуються персональні спеціальні економічні та інші обмежувальні заходи (санкції);
установлення факту обробки інформації з обмеженим доступом та/або державних інформаційних ресурсів в ІКС, які не мають виходу за межі контрольованої зони, з недотриманням умов експлуатації атестованої системи захисту інформації";
абзац п'ятий підпункту 3 після слів "у сфері ТЗІ" доповнити словами ", проєктної та експлуатаційної документації на КСЗІ та комплекси ТЗІ".
6. У розділі VI:
1) в абзаці другому пункту 1 слова "нормативно-технічних документів" замінити словами "нормативних документів у сфері ТЗІ";
2) пункт 6 викласти в такій редакції:
"6. Для з'ясування причин, які призвели до порушень першої категорії, посадовими особами ДРТЗІ ініціюється проведення службового розслідування. Службові розслідування можуть також ініціюватися в разі порушень другої категорії, якщо встановлено факт циркуляції інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, на об'єктах інформаційної діяльності та/або ІКС за умови відсутності атестованої системи захисту інформації".
7. У тексті Положення:
слова "УРТЗІ НПУ" замінити словом "ДРТЗІ";
слова "органи, щодо яких здійснюється ТЗІ," в усіх відмінках замінити словами "суб'єкти перевірки" у відповідних відмінках;
слова "нормативно-технічних документів з ТЗІ" в усіх відмінках замінити словами "нормативних документів у сфері ТЗІ" у відповідних відмінках;
слова "та (або)" замінити словами "та/або".
8. Додаток до цього Положення викласти в новій редакції, що додається.
____________
Додаток
до Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України
(пункт 9 розділу II)
ПРИПИС
на проведення перевірки
( див. текст )