Про внесення змін до деяких наказів Міністерства внутрішніх справ України у сфері технічного захисту інформації

Відповідно до Закону України "Про електронні комунікації", абзацу третього пункту 2 постанови Кабінету Міністрів України від 28 грудня 1992 року № 731 "Про затвердження Положення про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади", з метою приведення нормативно-правових актів Міністерства внутрішніх справ України з питань діяльності Національної поліції України у відповідність до законодавства України

НАКАЗУЮ:

1. У преамбулі наказу Міністерства внутрішніх справ України від 29 лютого 2016 року № 139 "Про затвердження Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України", зареєстрованого в Міністерстві юстиції України 23 березня 2016 року за № 431/28561, слова "інформаційно-телекомунікаційних" замінити словами "інформаційно-комунікаційних".

2. У заголовку, преамбулі та пункті 1 наказу Міністерства внутрішніх справ України від 30 березня 2016 року № 228 "Про затвердження Порядку організації та проведення первинної та додаткової експертизи комплексної системи захисту інформації в інформаційно-телекомунікаційних системах органів і підрозділів Національної поліції України", зареєстрованого в Міністерстві юстиції України 21 квітня 2016 року за № 614/28744, слова "інформаційно-телекомунікаційних" замінити словами "інформаційно-комунікаційних".

3. Затвердити зміни до деяких нормативно-правових актів Міністерства внутрішніх справ України у сфері технічного захисту інформації, що додаються.

4. Департаменту взаємодії з Національною поліцією України Міністерства внутрішніх справ України (Мозгова В.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

5. Цей наказ набирає чинності з дня його офіційного опублікування.

1. У Положенні про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України, затвердженому наказом Міністерства внутрішніх справ України від 29 лютого 2016 року № 139, зареєстрованому в Міністерстві юстиції України 23 березня 2016 року за № 431/28561:

1) в абзаці восьмому пункту 3 розділу I слова "інформаційно-телекомунікаційних" замінити словами "інформаційно-комунікаційних";

2) абзац другий пункту 9 розділу II виключити;

3) підпункт 3 пункту 4 розділу IV викласти в такій редакції:

"3) заходи з технічного захисту державних інформаційних ресурсів та інформації, вимоги щодо захисту яких установлені законодавством України, що обробляються в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі - ІКС), засобах розмноження документів та інших технічних засобах, що використовуються для обробки такої інформації;";

4) розділ V викласти в такій редакції:

"V. Кваліфікація порушень вимог з ТЗІ

1. Порушення вимог з ТЗІ поділяються на три категорії, які визначають можливість реалізації загроз безпеці інформації:

1) перша категорія - невиконання вимог нормативно-правових актів та нормативних документів у сфері ТЗІ, унаслідок чого створюється реальна загроза порушення конфіденційності (зокрема, за рахунок витоку (просочення) технічними каналами) та (або) цілісності й доступності інформації;

2) друга категорія - невиконання вимог нормативно-правових актів та нормативних документів у сфері ТЗІ, унаслідок чого створюються передумови для порушення конфіденційності (зокрема, за рахунок витоку (просочення) технічними каналами) та (або) цілісності й доступності інформації;

3) третя категорія - невиконання інших вимог з ТЗІ.

2. Кваліфікаційні ознаки порушень вимог з ТЗІ:

1) ознаки порушень першої категорії:

установлення факту циркуляції інформації, що становить державну таємницю, на об’єктах інформаційної діяльності, в ІКС за умови підтвердження інструментально-розрахунковими методами наявності технічного каналу витоку інформації;

установлення факту обробки інформації з обмеженим доступом та (або) державних інформаційних ресурсів в ІКС, які мають вихід за межі контрольованої зони, за умови відсутності атестованої системи захисту інформації;

установлення факту обробки інформації з обмеженим доступом в ІКС, з недотриманням умов доступу до її інформаційних ресурсів користувачів, які мають різні повноваження (права доступу до інформації);

установлення факту несанкціонованого доступу користувачів ІКС до інформації з обмеженим доступом та (або) державних інформаційних ресурсів в ІКС шляхом порушення встановлених правил розмежування доступу або подолання заходів захисту;

установлення факту обробки інформації з обмеженим доступом в ІКС з недотриманням умов експлуатації атестованої системи захисту інформації;

установлення факту втручання в роботу системи, яке призвело до очищення журналу реєстрації подій та очищення гілки системного реєстру операційних систем;

установлення факту циркуляції інформації, що становить державну таємницю на об’єктах інформаційної діяльності, в ІКС з недотриманням умов експлуатації комплексу ТЗІ шляхом порушення зон безпеки інформації для основних технічних засобів та інших вимог, зазначених у приписах на експлуатацію основних технічних засобів та об’єктів інформаційної діяльності;

установлення факту озвучування на об’єктах інформаційної діяльності інформації, що становить державну таємницю, з недотриманням умов експлуатації комплексу ТЗІ на об’єкті інформаційної діяльності;

установлення факту циркуляції інформації, що становить державну таємницю на об’єктах інформаційної діяльності, в ІКС за умов непрацездатності комплексу ТЗІ;

установлення факту порушення налаштування параметрів політики безпеки в ІКС, які мають вихід за межі контрольованої зони, що використовуються для обробки інформації з обмеженим доступом та (або) державних інформаційних ресурсів, відповідно до проєктної та робочої документації системи захисту інформації;

2) ознаки порушень другої категорії:

установлення факту порушення налаштування параметрів політики безпеки в ІКС, які не мають виходу за межі контрольованої зони та використовуються для обробки інформації з обмеженим доступом та (або) державних інформаційних ресурсів, відповідно до проєктної та робочої документації системи захисту інформації;

установлення факту непрацездатності комплексу засобів захисту в ІКС, які не мають виходу за межі контрольованої зони та використовуються для обробки інформації з обмеженим доступом та (або) державних інформаційних ресурсів;

установлення факту обробки інформації з обмеженим доступом та (або) державних інформаційних ресурсів в ІКС, які не мають виходу за межі контрольованої зони, за умов відсутності атестованої системи захисту інформації;

установлення факту озвучування на об’єктах інформаційної діяльності інформації, що становить державну таємницю, та (або) обробки секретної інформації в ІКС, які не мають виходу за межі контрольованої зони, за умов відсутності чинного акта атестації комплексу ТЗІ на об’єкт інформаційної діяльності;

установлення факту озвучування на об’єктах інформаційної діяльності інформації, що становить державну таємницю, та (або) обробки секретної інформації в ІКС, які не мають виходу за межі контрольованої зони, за умов відсутності результатів періодичного інструментального контролю захищеності інформації від витоку технічними каналами на об’єктах інформаційної діяльності, де створені та атестовані комплекси ТЗІ;

3) ознаки порушень третьої категорії:

установлення факту відсутності документів, що підтверджують впровадження організаційних та (або) технічних заходів із захисту інформації, або їх невідповідності вимогам нормативних документів;

установлення фактів непроведення організаційних заходів щодо ТЗІ або їх проведення з порушенням вимог нормативно-правових або організаційно-розпорядчих актів у сфері ТЗІ;

установлення факту недотримання вимог законодавства власником системи щодо забезпечення захисту інформації в ІКС, що не призводить до порушення першої чи другої категорії;

інші порушення вимог нормативно-правових актів та нормативних документів у сфері ТЗІ.".

2. У Порядку організації та проведення первинної та додаткової експертизи комплексної системи захисту інформації в інформаційно-телекомунікаційних системах органів і підрозділів Національної поліції України, затвердженого наказом Міністерства внутрішніх справ України від 30 березня 2016 року № 228, зареєстрованого в Міністерстві юстиції України від 21 квітня 2016 року за № 614/28744:

1) у заголовку та тексті слова "інформаційно-телекомунікаційних" замінити словами "інформаційно-комунікаційних";

2) слова "ІТС" замінити словами "ІКС".