КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 9 вересня 1994 р. N 632
Київ
( Постанова втратила чинність на підставі Постанови КМ
N 281 від 13.03.2002 )
Про затвердження Положення
про технічний захист інформації в Україні
Кабінет Міністрів України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про технічний захист інформації в Україні (додається).
2. Державній службі з питань технічного захисту інформації разом із заінтересованими міністерствами і відомствами забезпечити вивчення практики застосування Положення про технічний захист інформації в Україні і в разі потреби подавати Кабінетові Міністрів України пропозиції про внесення змін і доповнень до цього Положення.
Прем'єр-міністр України В. МАСОЛ
Міністр Кабінету Міністрів України В. ПУСТОВОЙТЕНКО
Затверджено
постановою Кабінету Міністрів України
від 9 вересня 1994 р. N 632
Положення
про технічний захист інформації в Україні
Загальна частина
1. Це Положення визначає порядок технічного захисту інформації, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі, а також конфіденційної інформації, що є власністю держави (далі - інформація з обмеженим доступом).
Дія цього Положення поширюється на центральні та місцеві органи державної виконавчої влади, органи виконавчої влади Республіки Крим, місцеві Ради народних депутатів та їх органи, на військові частини всіх військових формувань, на підприємства, установи й організації всіх форм власності, представництва України за кордоном і громадян, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом.
2. Технічний захист інформації, що не містить відомостей, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі, а також конфіденційної інформації, що не є власністю держави, здійснюється її власниками (користувачами) на добровільних засадах самостійно або на договірних засадах з іншими учасниками інформаційних відносин.
При цьому вимоги даного Положення, інших актів законодавства з питань технічного захисту інформації з обмеженим доступом, організаційних, розпорядчих і нормативних документів Державної служби з питань технічного захисту інформації мають рекомендаційний характер.
3. Технічний захист інформації з обмеженим доступом є однією із складових частин управлінської, наукової і виробничої діяльності, спрямованої на забезпечення безпеки інформації, та являє собою сукупність організаційних і технічних заходів, що базуються на принципах доцільності, безперервності і комплексності, погоджених за часом і місцем застосування.
Державна політика в галузі технічного захисту інформації з обмеженим доступом реалізується Державною службою з питань технічного захисту інформації у взаємодії з Міноборони, Службою безпеки, Держкомсекретів, іншими центральними та місцевими органами державної виконавчої влади, органами виконавчої влади Республіки Крим, виконавчими комітетами Рад.
Мета технічного захисту інформації з обмеженим доступом - своєчасне виявлення загроз та запобігання порушенню цілісності інформації з обмеженим доступом і витоку її технічними каналами.
4. Загроза порушення цілісності інформації з обмеженим доступом і витоку її технічними каналами (далі - загроза) може бути реалізована технічними розвідками, юридичними особами та громадянами за допомогою технічних засобів (далі - технічні розвідки). Відомості про методи порушення цілісності інформації з обмеженим доступом і витоку її технічними каналами, засоби і можливості технічних розвідок викладаються у відповідних моделях технічних розвідок та загроз.
5. Це Положення не поширюється на системи та засоби, які базуються на криптографічних методах захисту інформації з обмеженим доступом.
Система технічного захисту інформації
6. Систему технічного захисту інформації з обмеженим доступом становлять:
Державна служба з питань технічного захисту інформації;
структурні підрозділи технічного захисту інформації центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад;
головні за напрямами технічного захисту інформації підприємства, установи й організації;
базові за напрямами технічного захисту інформації підприємства, установи й організації міністерств і відомств;
підприємства, установи й організації, які виконують роботи та надають послуги в галузі технічного захисту інформації;
структурні підрозділи технічного захисту інформації підприємств, установ і організацій;
навчальні заклади підготовки, перепідготовки та підвищення кваліфікації спеціалістів з питань технічного захисту інформації.
7. Центральним органом державної виконавчої влади в галузі технічного захисту інформації є Державна служба з питань технічного захисту інформації.
Рішення Державної служби з питань технічного захисту інформації, прийняті в межах її компетенції, є обов'язковими для виконання центральними та місцевими органами державної виконавчої влади, органами виконавчої влади Республіки Крим, місцевими Радами народних депутатів та їх органами, військовими частинами всіх військових формувань, підприємствами, установами й організаціями всіх форм власності, представництвами України за кордоном, посадовими особами і громадянами, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом.
8. Основними завданнями Державної служби з питань технічного захисту інформації є:
1) організація, методичне керівництво та забезпечення функціонування системи технічного захисту інформації;
2) здійснення контролю за виконанням центральними і місцевими органами державної виконавчої влади, органами виконавчої влади Республіки Крим, виконавчими комітетами Рад, військовими частинами всіх військових формувань, підприємствами, установами й організаціями всіх форм власності, представництвами України за кордоном, посадовими особами і громадянами, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом, вимог цього Положення, інших актів законодавства, організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації;
3) підготовка пропозицій про вдосконалення чинного законодавства, організаційних і технічних заходів щодо запобігання порушенню цілісності інформації з обмеженим доступом і витоку її технічними каналами;
4) визначення технічно й економічно обгрунтованих напрямів розвитку засобів і способів технічного захисту інформації з обмеженим доступом, координація наукових досліджень у цій галузі;
5) виконання функцій замовника щодо проведення науково-дослідних і дослідно-конструкторських робіт з проблем технічного захисту інформації з обмеженим доступом; координація робіт із створення технічних засобів цього захисту, засобів формування, пересилання, приймання, перетворення, відображення та зберігання інформації, захищених від порушення цілісності та витоку технічними каналами (далі - захищені засоби), і контрольно-вимірювальної апаратури;
6) розроблення концепцій та національних програм з питань технічного захисту інформації з обмеженим доступом, забезпечення їх реалізації у політичній, економічній, військовій, науково-технічній, соціальній та інших сферах;
7) підготовка пропозицій про визначення головних за напрямами технічного захисту інформації підприємств, установ і організацій;
8) формування та супроводження моделей технічних розвідок і загроз у взаємодії з Міноборони, Службою безпеки, Держкомсекретів та іншими центральними і місцевими органами державної виконавчої влади, органами виконавчої влади Республіки Крим, виконавчими комітетами Рад;
9) організація і здійснення технічного контролю за розробленням та реалізацією заходів технічного захисту інформації з обмеженим доступом;
10) організація інфраструктури інформаційного забезпечення системи технічного захисту інформації;
11) організація разом з центральними та місцевими органами державної виконавчої влади, органами виконавчої влади Республіки Крим, виконавчими комітетами Рад діяльності щодо підготовки, перепідготовки та підвищення кваліфікації спеціалістів з технічного захисту інформації;
12) ліцензування діяльності в галузі технічного захисту інформації з обмеженим доступом, організація і методологічне забезпечення сертифікації засобів захисту, захищених засобів і контрольно-вимірювальної апаратури;
13) координація робіт з технічного захисту інформації з обмеженим доступом в центральних і місцевих органах державної виконавчої влади, органах виконавчої влади Республіки Крим, виконавчих комітетах Рад, військових частинах всіх військових формувань, на підприємствах, в установах і організаціях всіх форм власності, представництвах України за кордоном;
14) видання організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом.
9. Організацію і виконання робіт з технічного захисту інформації з обмеженим доступом та контроль за їх проведенням здійснюють у межах своєї компетенції Державна служба з питань технічного захисту інформації, центральні та місцеві органи державної виконавчої влади, органи виконавчої влади Республіки Крим, виконавчі комітети Рад, військові частини всіх військових формувань, підприємства, установи й організації всіх форм власності, представництва України за кордоном, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом, відповідно до затверджуваних ними планів.
10. Основними завданнями центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад з питань технічного захисту інформації з обмеженим доступом є:
1) визначення відомостей, що містять інформацію з обмеженим доступом, з урахуванням шкоди, яка може бути завдана порушенням цілісності інформації та її витоком технічними каналами;
2) розроблення і здійснення згідно з чинним законодавством, організаційними, розпорядчими і нормативними документами, виданими Державною службою з питань технічного захисту інформації, відповідних технічно та економічно обгрунтованих заходів;
3) організація науково-дослідних і дослідно-конструкторських робіт із створення засобів захисту, захищених засобів і контрольно-вимірювальної апаратури;
4) включення спеціальних вимог технічного захисту інформації з обмеженим доступом до технічних завдань на створення зразків продукції та технологій для державних потреб, а також до завдань на проектування і будівництво військових, військово-промислових та інших об'єктів, у тому числі призначених для проведення досліджень, розроблення, виробництва та випробувань озброєння і військової техніки, пріоритетних технологій, інформаційних систем, систем зв'язку й управління;
5) видання відомчих документів з питань технічного захисту інформації з обмеженим доступом на основі актів законодавства, організаційних, розпорядчих і нормативних документів, виданих Державною службою з питань технічного захисту інформації;
6) контроль за виконанням чинного законодавства, організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом та здійсненням заходів для її технічного захисту підвідомчими підприємствами, установами й організаціями;
7) визначення за погодженням з Державною службою з питань технічного захисту інформації головних за напрямами технічного захисту інформації підприємств, установ і організацій;
8) створення в установленому порядку базових за напрямами технічного захисту інформації підприємств, установ і організацій (за погодженням з Державною службою з питань технічного захисту інформації).
11. Основними завданнями структурних підрозділів технічного захисту інформації центральних та місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад є:
1) розроблення організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом та забезпечення доведення їх до підвідомчих цим органам підприємств, установ і організацій;
2) проведення заходів технічного захисту інформації з обмеженим доступом у взаємодії з іншими підрозділами, які забезпечують безпеку інформації;
3) організація та координація робіт з технічного захисту інформації з обмеженим доступом на підвідомчих цим органам підприємствах, в установах і організаціях;
4) організація контролю за виконанням структурними підрозділами відповідно центральних та місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, підприємствами, установами й організаціями вимог цього Положення, інших актів законодавства, організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом, а також забезпечення оперативного усунення виявлених порушень і недоліків;
5) організація одержання інформації про діяльність основних структурних підрозділів відповідно центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад стосовно технічного захисту інформації з обмеженим доступом, аналізу достатності й ефективності вжитих заходів для її захисту та технічної оснащеності підвідомчих підприємств, установ і організацій; подання відомостей про стан технічного захисту інформації з обмеженим доступом Державній службі з питань технічного захисту інформації за її запитами;
6) організація підготовки, перепідготовки та підвищення кваліфікації спеціалістів з технічного захисту інформації.
12. Основними завданнями:
1) головних за напрямами технічного захисту інформації підприємств, установ і організацій є:
розроблення проектів організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом;
виконання науково-дослідних і дослідно-конструкторських робіт із створення методів та засобів технічного захисту інформації, захищених засобів і контрольно-вимірювальної апаратури;
розроблення пропозицій до програм розвитку технічного захисту інформації з обмеженим доступом;
2) базових за напрямами технічного захисту інформації підприємств, установ і організацій є:
організація та координація робіт з технічного захисту інформації з обмеженим доступом на відповідних підприємствах, в установах і організаціях;
здійснення контролю за ефективністю заходів технічного захисту інформації з обмеженим доступом на відповідних підприємствах, в установах і організаціях;
надання на договірних засадах послуг з технічного захисту інформації з обмеженим доступом підприємствам, установам, організаціям і громадянам.
13. Основними завданнями структурних підрозділів технічного захисту інформації підприємств, установ і організацій є:
1) формування переліків окремих загроз, каналів витоку інформації з обмеженим доступом і каналів спеціального впливу на інформацію на основі аналізу моделей технічних розвідок та загроз;
2) забезпечення виконання вимог цього Положення, інших актів законодавства з питань технічного захисту інформації з обмеженим доступом, організаційних, розпорядчих і нормативних документів Державної служби з питань технічного захисту інформації, центральних та місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад;
3) розроблення і впровадження заходів технічного захисту інформації з обмеженим доступом та контролю за їх ефективністю;
4) аналіз ефективності застосування технічних засобів захисту інформації з обмеженим доступом, захищених засобів і контрольно-вимірювальної апаратури;
5) підготовка пропозицій про вдосконалення організаційних, розпорядчих і нормативних документів з питань технічного захисту інформації з обмеженим доступом;
6) організація взаємодії із структурними підрозділами, що забезпечують безпеку інформації на підприємствах, в установах і організаціях.
14. Відповідальність за технічний захист інформації з обмеженим доступом згідно з чинним законодавством несуть керівники центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, командири військових частин всіх військових формувань, керівники підприємств, установ і організацій, представництв України за кордоном і громадяни, які володіють, користуються та розпоряджаються такою інформацією.
15. Структурні підрозділи технічного захисту інформації центральних та місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, підприємств, установ і організацій підпорядковуються безпосередньо їхнім керівникам.
Відомості про призначення осіб, які очолюють зазначені підрозділи центральних та місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, надсилаються Державній службі з питань технічного захисту інформації.
16. Виробництво та сервісне обслуговування систем і засобів, виконання робіт та надання послуг, що забезпечують технічний захист інформації з обмеженим доступом, можуть здійснювати підприємства, установи, організації та громадяни, які одержали в установленому порядку відповідні ліцензії.
17. Безпосереднє керівництво роботами з технічного захисту інформації з обмеженим доступом в центральних і місцевих органах державної виконавчої влади, органах виконавчої влади Республіки Крим, виконавчих комітетах Рад здійснюється одним із заступників керівника, а на підприємствах, в установах і організаціях - їхніми керівниками.
18. Підготовка рішень з найважливіших питань технічного захисту інформації з обмеженим доступом в центральних та місцевих органах державної виконавчої влади, на підприємствах, в установах і організаціях покладається на науково-технічні ради або інші компетентні колегіальні органи.
19. Найважливіші питання проведення державної політики в галузі технічного захисту інформації з обмеженим доступом розглядає Координаційна рада при Державній службі з питань технічного захисту інформації і приймає щодо них відповідні рішення.
Порядок технічного захисту інформації з обмеженим доступом
20. Порядок технічного захисту інформації з обмеженим доступом визначається цим Положенням, іншими актами законодавства з питань технічного захисту інформації з обмеженим доступом, організаційними, розпорядчими і нормативними документами Державної служби з питань технічного захисту інформації, центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, моделями технічних розвідок та загроз, іншими документами в цій галузі.
21. З метою забезпечення диференційованого підходу до технічного захисту інформації з обмеженим доступом об'єкти різного призначення, на яких зосереджена така інформація, поділяються на категорії в установленому порядку.
22. Для прийняття рішень про проведення заходів технічного захисту інформації з обмеженим доступом здійснюються такі підготовчі роботи:
визначення переліку конкретних таємних і конфіденційних відомостей, що підлягають технічному захисту;
обгрунтування необхідності розроблення та реалізації зазначених заходів з урахуванням матеріальної та іншої шкоди, що може бути завдана внаслідок можливого порушення цілісності інформації з обмеженим доступом або її витоку технічними каналами;
уточнення межі контрольованої території на основі аналізу моделей технічних розвідок і загроз та місцезнаходження військових частин усіх військових формувань, підприємств, установ і організацій, представництв України за кордоном, виявлення технічних каналів витоку інформації з обмеженим доступом та впливу на неї;
визначення способів технічного захисту інформації з обмеженим доступом, шляхів і засобів їх реалізації, оцінка ефективності заходів технічного захисту інформації з обмеженим доступом, які передбачаються.
23. Результати підготовчих робіт оформляються актом установленої форми, який є підставою для проведення заходів технічного захисту інформації з обмеженим доступом.
За результатами виконання зазначених в акті підготовчих робіт оформляється (в порядку, що визначається Державною службою з питань технічного захисту інформації) атестат, який посвідчує готовність забезпечення технічного захисту інформації з обмеженим доступом.
24. Технічному захисту підлягає інформація з обмеженим доступом, матеріалізована в носіях інформації.
Носіями інформації з обмеженим доступом можуть бути фізичні об'єкти, поля і сигнали, хімічні середовища, нагромаджувачі даних в інформаційних системах.
25. Неправомірне одержання інформації з обмеженим доступом може здійснюватися технічними засобами космічної, повітряної, морської і наземної розвідок або шляхом порушення правил розмежування доступу до інформації з обмеженим доступом в автоматизованих системах, засобах обчислювальної техніки, лініях зв'язку - шляхом несанкціонованого доступу до неї.
Порушення цілісності (руйнування, спотворення, модифікація і знищення) та витік інформації з обмеженим доступом, що обробляється або зберігається в засобах обчислювальної техніки, можуть здійснюватися шляхом включення до бібліотек програм спеціальних програмних блоків, зміни програмного забезпечення та іншими засобами.
26. Носії інформації з обмеженим доступом, середовища поширення полів і технічні засоби розвідок разом становлять навмисні або ненавмисні технічні канали витоку інформації з обмеженим доступом.
Навмисні канали витоку інформації з обмеженим доступом створюються відповідним формуванням (перетворенням) полів або середовищ їх поширення з метою забезпечення сприятливих умов для витоку інформації з обмеженим доступом.
Ненавмисні канали витоку інформації з обмеженим доступом утворюються в результаті виникнення полів і середовищ їх поширення.
27. Спеціальний вплив на інформацію з обмеженим доступом, її носії та засоби технічного захисту здійснюється шляхом формування сигналів, полів, середовищ і блоків програм з метою порушення цілісності інформації з обмеженим доступом або її витоку і зниження ефективності захисту.
28. Основними способами технічного захисту інформації з обмеженим доступом є її приховування і технічна дезинформація.
Приховування інформації з обмеженим доступом досягається шляхом застосування пасивних та активних технічних засобів і рішень, спрямованих на виключення або суттєве утруднення реалізації загроз порушення цілісності або витоку інформації з обмеженим доступом. Приховування цієї інформації повинно здійснюватися, за можливостю, у межах контрольованої території. У разі неможливості приховування інформації вводяться режими обмеження застосування носіїв інформації з обмеженим доступом.
Технічна дезинформація досягається шляхом застосування технічних засобів і рішень, спрямованих на формування спотвореного сприймання.
29. Для технічного захисту інформації використовуються технічні засоби загального призначення і спеціальні технічні засоби.
Технічні засоби загального призначення забезпечують самостійно або разом з іншими засобами технічний захист інформації з обмеженим доступом, яка зосереджена в системах зв'язку, управління та інформаційних системах загального призначення.
Спеціальні технічні засоби створюються для конкретних зразків виробів і технологій на основі спеціальних технічних рішень та можуть доповнюватися технічними засобами загального призначення.
Відповідність технічних засобів загального призначення вимогам норм і стандартів підтверджується сертифікатами, що видаються Державною службою з питань технічного захисту інформації.
30. Склад засобів технічного захисту інформації, їх постачальників і перелік послуг, пов'язаних із встановленням, монтажем, налагодженням та обслуговуванням цих засобів, визначають власники інформації, яка підлягає захисту, або уповноважені ними органи.
Організація комплексного технічного захисту інформації з обмеженим доступом на об'єктах різного призначення
31. Комплексний технічний захист інформації з обмеженим доступом передбачає застосування організаційних заходів, системи інженерно-технічних споруд разом з технічними засобами загального призначення та спеціальними технічними засобами і реалізується в центральних та місцевих органах державної виконавчої влади, органах виконавчої влади Республіки Крим, виконавчих комітетах Рад, військових частинах всіх військових формувань, на підприємствах, в установах і організаціях всіх форм власності, представництвах України за кордоном, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом.
Порядок забезпечення технічного захисту інформації з обмеженим доступом в цьому разі визначається відповідними керівниками.
32. Заходи технічного захисту інформації з обмеженим доступом є невід'ємною частиною проектування і будівництва об'єктів різного призначення.
Витрати на проектування і будівництво, пов'язані із здійсненням заходів технічного захисту інформації з обмеженим доступом, включаються до загального кошторису на проектування і будівництво об'єкта.
33. У завданнях на техніко-економічне обгрунтування і проектування будівництва об'єктів мають бути викладені вимоги технічного захисту інформації з обмеженим доступом.
Завдання на проектування особливо важливих об'єктів у частині вимог технічного захисту інформації з обмеженим доступом узгоджуються з Державною службою з питань технічного захисту інформації.
34. Дотримання у проектній документації вимог технічного захисту інформації з обмеженим доступом, видавання завдань щодо цього проектним організаціям покладається на генерального проектувальника об'єкта.
Одним з основних способів прихованого будівництва об'єктів є застосування об'єктів прикриття.
35. Забезпечення здійснення технічного захисту інформації з обмеженим доступом на об'єктах, що будуються, покладається на їхніх керівників.
36. Технічний захист мовної інформації з обмеженим доступом - це комплекс організаційних і технічних заходів, що здійснюються у приміщеннях, спеціально виділених для роботи з мовною інформацією з обмеженим доступом. Не допускається експлуатація зазначених приміщень без спеціального обстеження їх і встановленого в них обладнання з метою визначення можливості формування технічних каналів витоку інформації з обмеженим доступом.
37. Організаційні заходи щодо технічного захисту мовної інформації з обмеженим доступом мають обмежувальний характер і регламентують використання технічних засобів, призначених для пересилання, обробки, зберігання інформації з обмеженим доступом, та допоміжних технічних засобів і систем.
38. Технічні заходи щодо захисту мовної інформації з обмеженим доступом передбачають використання засобів технічного захисту інформації з обмеженим доступом загального призначення, захищених технічних засобів та допоміжних технічних засобів і систем, які забезпечують енергетичні обмеження і створення перешкод, спрямованих на виключення можливості або істотне утруднення витоку інформації з обмеженим доступом.
39. Заходи технічного захисту мовної інформації з обмеженим доступом спрямовано на запобігання витоку інформації шляхом:
побічних електромагнітних випромінювань і наводок, що створюються допоміжними технічними засобами і системами;
побічних електромагнітних наводок у результаті впливу на допоміжні технічні засоби та системи, не призначені для пересилання, обробки і зберігання інформації з обмеженим доступом;
створення акустичних та віброакустичних полів;
застосування закладних пристроїв.
40. Основним методом технічного захисту мовної інформації з обмеженим доступом від закладних пристроїв є їх виявлення, усунення та подавлення або використання з метою дезінформації.
41. Технічний захист інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки спрямовано на запобігання порушенню цілісності інформації з обмеженим доступом та її витоку шляхом:
несанкціонованого доступу;
приймання й аналізу побічних електромагнітних випромінювань і наводок;
використання закладних пристроїв;
впровадження комп'ютерних вірусів та іншого впливу.
42. Технічний захист інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки, призначених для формування, пересилання, приймання, перетворення, відображення та зберігання інформації, забезпечується комплексом конструкторських, організаційних, програмних і технічних заходів на всіх етапах їх створення й експлуатації.
43. Основними методами та засобами технічного захисту інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки є:
використання захищених засобів;
регламентування роботи користувачів, технічного персоналу, програмних засобів, елементів баз даних і носіїв інформації з обмеженим доступом (розмежування доступу);
регламентування архітектури автоматизованих систем і засобів обчислювальної техніки;
інженерно-технічне оснащення споруд і комунікацій, призначених для експлуатації автоматизованих систем і засобів обчислювальної техніки;
пошук, виявлення і блокування закладних пристроїв.
44. Під час створення захищених засобів вимоги технічного захисту інформації з обмеженим доступом формулюються замовником, погоджуються з розробником автоматизованих систем і засобів обчислювальної техніки і включаються до технічного завдання. Технічні завдання на створення найважливіших автоматизованих систем і засобів обчислювальної техніки, перелік яких визначається міністерствами і відомствами-замовниками разом з Державною службою з питань технічного захисту інформації, узгоджуються з цією Службою.
45. Перевірка виконання вимог технічного захисту інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки проводиться в процесі попередніх, приймальних (державних) (далі приймальних) та інших випробувань апаратури.
За результатами цих випробувань оформляється сертифікат, що посвідчує відповідність автоматизованих систем і засобів обчислювальної техніки вимогам технічного захисту інформації з обмеженим доступом.
46. Відповідальність за реалізацію комплексу заходів технічного захисту інформації з обмеженим доступом покладається на керівника, у віданні якого перебувають автоматизовані системи і засоби обчислювальної техніки.
Порядок технічного захисту інформації з обмеженим доступом
під час створення зразків продукції та технологій
для державних потреб
47. Завдання щодо створення для державних потреб зразків продукції та технологій, які містять інформацію з обмеженим доступом, можуть виконувати тільки підприємства, установи й організації, що мають ліцензію, видану Державною службою з питань технічного захисту інформації.
48. До технічних завдань на проведення досліджень, проектування, створення й випробування зразків продукції та технологій для державних потреб включаються вимоги технічного захисту інформації з обмеженим доступом.
49. Розроблення методів і засобів технічного захисту інформації з обмеженим доступом та виробництво таких засобів є невід'ємною складовою частиною всіх етапів створення зразків продукції та технологій, а витрати на це включаються до загальної вартості робіт.
50. У технічних завданнях на виконання науково-дослідних робіт і технічних пропозицій замовник повинен передбачати вимоги для визначення переліку відомостей, що підлягають охороні, методів і засобів їх захисту, а також вимоги до здійснення заходів технічного захисту цієї інформації під час проведення досліджень.
До технічних завдань на виконання дослідно-конструкторських робіт замовник має включати перелік відомостей, що підлягають охороні, і конкретні вимоги до розроблення методів і засобів їх технічного захисту на всіх етапах життєвого циклу створення продукції.
51. Під час виконання наукового-дослідних робіт, технічних пропозицій, ескізного та технічного проектування обгрунтовуються зміст та обсяг інформації з обмеженим доступом, що підлягає технічному захисту, визначаються зміст і перелік організаційних та технічних заходів захисту цієї інформації та контролю за його ефективністю на інших етапах створення зразків продукції та технологій (розроблення, випробування), виготовлення і експлуатації.
Обгрунтування вимог технічного захисту інформації з обмеженим доступом проводиться з урахуванням впливу можливих втрат цієї інформації на ефективність та якість створюваної продукції. Матеріали технічного захисту інформації з обмеженим доступом у звіті про науково-дослідну роботу, у технічних пропозиціях, ескізному та технічному проектах подаються окремим розділом.
52. Не для друку.
53. Відповідальність за виконання вимог технічного захисту інформації з обмеженим доступом, передбачених технічним завданням, за включення вимог технічного захисту інформації до технічних завдань підприємствам-співвиконавцям, а також за реалізацію заходів захисту інформації несе розробник зразків продукції та технологій (далі - розробник) та їх замовник.
54. Під час підготовки і проведення попередніх і приймальних випробувань комісія з проведення випробувань разом із відповідними працівниками науково-випробних підприємств, установ і організацій та розробниками здійснює перевірку виконання вимог технічного захисту інформації з обмеженим доступом, передбачених технічними завданнями на створення продукції та технологій.
За результатами випробувань продукції складається висновок про достатність вжитих заходів технічного захисту інформації з обмеженим доступом та розробляються рекомендації щодо її технічного захисту на етап експлуатації.
55. Не для друку.
56. Організацію технічного захисту інформації з обмеженим доступом у науково-випробних підприємствах, установах і організаціях здійснюють їх керівники.
57. Для кожного зразка створюваної продукції на всі етапи його життєвого циклу розробляється інструкція з технічного захисту інформації з обмеженим доступом, зокрема:
на етапи дослідження, розроблення (модернізації) - розробником і підприємствами-співвиконавцями за погодженням із замовником. Затверджується розробником;
на етап випробувань - розробником разом з науково-випробними підприємствами, установами і організаціями. Затверджується замовником;
на етап серійного виробництва - підприємством-виробником за погодженням з розробником і замовником. Затверджується підприємством-виробником.
58. Не для друку.
59. Розробники видають погоджені із замовником вихідні дані з технічного захисту інформації з обмеженим доступом підприємствам-співвиконавцям і підприємствам-виробникам для вжиття заходів технічного захисту інформації з обмеженим доступом на етапах розроблення (модернізації), випробувань, виробництва та експлуатації продукції.
Вимоги, викладені в інструкціях з технічного захисту інформації з обмеженим доступом, повинні включатися до технічних умов, програм та методик випробувань, інструкцій з експлуатації, технічних вимог креслень на виготовлення продукції, а також до інших конструкторських документів.
Організація контролю за ефективністю технічного захисту
інформації з обмеженим доступом
60. Контроль за ефективністю технічного захисту інформації з обмеженим доступом є однією з форм діяльності системи технічного захисту інформації і полягає в перевірці виконання вимог цього Положення, інших актів законодавства з питань технічного захисту інформації, організаційних, розпорядчих і нормативних документів Державної служби з питань технічного захисту інформації, центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, місцевих Рад народних депутатів та їх органів.
61. Не для друку.
62. Контроль за ефективністю технічного захисту інформації з обмеженим доступом здійснюється на підставі плану перевірок Державної служби з питань технічного захисту інформації та планів перевірок відповідних центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад з повідомленням або без повідомлення керівників об'єктів, що перевіряються.
Контроль за ефективністю технічного захисту інформації з обмеженим доступом включає перевірки:
своєчасності та повноти виконання вимог цього Положення, інших актів законодавства з питань технічного захисту інформації, організаційних, розпорядчих і нормативних документів Державної служби з питань технічного захисту інформації, центральних і місцевих органів державної виконавчої, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад та інших документів у цій галузі;
відповідності вжитих заходів установленим нормам технічного захисту інформації з обмеженим доступом;
повноти виявлення можливих порушень цілісності інформації з обмеженим доступом та її витоку технічними каналами;
ефективності застосовуваних організаційних і технічних заходів захисту інформації з обмеженим доступом.
Результати контролю, виявлені порушення норм і вимог технічного захисту інформації з обмеженим доступом, недоліки, рекомендації щодо вдосконалення технічного захисту цієї інформації відображаються в акті перевірки.
63. Порушення встановлених норм і вимог технічного захисту інформації з обмеженим доступом поділяються на три категорії:
перша - невиконання норм і вимог технічного захисту інформації з обмеженим доступом, в результаті чого створюється реальна можливість порушення цілісності цієї інформації або її витоку технічними каналами;
друга - невиконання норм і вимог технічного захисту інформації з обмеженим доступом, у результаті чого створюються передумови для порушення цілісності цієї інформації або її витоку;
третя - невиконання інших вимог технічного захисту інформації з обмеженим доступом.
64. У разі виявлення порушення першої категорії:
негайно припиняються роботи, які проводилися з порушенням норм і вимог технічного захисту інформації з обмеженим доступом, про що повідомляються Державна служба з питань технічного захисту інформації, за наявності замовник;
здійснюються заходи щодо усунення порушень у терміни, погоджені з підрозділом технічного захисту інформації з обмеженим доступом, який виявив порушення;
організовується в установленому порядку розслідування причин, які призвели до порушень, з метою недопущення їх надалі і притягнення винних осіб до відповідальності;
про заходи, вжиті з метою усунення порушень, повідомляються Державна служба з питань технічного захисту інформації, відповідний орган, на підвідомчих підприємствах, в установах і організаціях якого виявлені ці порушення.
Дозвіл на відновлення робіт, під час виконання яких були виявлені порушення норм і вимог технічного захисту інформації з обмеженим доступом першої категорії, дає Державна служба з питань технічного захисту інформації після одержання відомостей про усунення порушень і перевірки достатності та ефективності вжитих заходів цією Службою, або структурним підрозділом технічного захисту інформації органу, якому підвідомче підприємство, установа і організація.
Якщо були виявлені порушення другої або третьої категорії, вживаються заходи щодо усунення порушень у терміни, погоджені з підрозділом технічного захисту інформації, який виявив ці порушення. Про виявлені порушення та вжиті заходи щодо їх усунення керівники підприємств, установ і організацій доповідають структурним підрозділам технічного захисту інформації органів, яким вони підвідомчі.
65. Не для друку.
66. Підставою для здійснення контролю за ефективністю технічного захисту інформації з обмеженим доступом є наказ, який видається:
головою (заступником голови) Державної служби України з питань технічного захисту інформації - на право проведення перевірки в центральних і місцевих органах державної виконавчої влади, органах виконавчої влади Республіки Крим, виконавчих комітетах Рад, військових частинах всіх військових формувань, на підприємствах, в установах і організаціях усіх форм власності, в представництвах України за кордоном, а також громадян, які володіють, користуються та розпоряджаються інформацією з обмеженим доступом;
заступниками керівників центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад, на яких покладено обов'язок щодо організації робіт з технічного захисту інформації з обмеженим доступом, керівниками структурних підрозділів технічного захисту інформації центральних і місцевих органів державної виконавчої влади, органів виконавчої влади Республіки Крим, виконавчих комітетів Рад - на право проведення перевірки підвідомчих підприємств, установ і організацій, а також організацій-співвиконавців робіт.
Наказ про здійснення контролю за ефективністю технічного захисту інформації з обмеженим доступом є підставою для допуску посадових осіб, що здійснюють перевірку, на підприємства, в установи і організації та до робіт і документів, необхідних для оцінки ефективності технічного захисту інформації з обмеженим доступом.
Посадовим особам Державної служби з питань технічного захисту інформації видаються посвідчення на право здійснення контролю за зразком згідно з додатком.
Додаток
до Положення про технічний захист
інформації в Україні
Додаток до Положення про технічний захист інформації в Україні | |
Кабінет Міністрів України Державна служба України з питань технічного захисту інформації ПОСВІДЧЕННЯ N Прізвище ___________________________ Ім'я ________________________________ По батькові _________________________ Фотокартка 3х4 см Голова Державної служби України з питань технічного захисту інформації Підпис М. П. "____ " _______________ 199__ р. |
Видане на право перевірки організації і стану технічного захисту інформації з обмеженим доступом в центральних та місцевих органах державної виконавчої влади, органах виконавчої влади Республіки Крим, місцевих Радах народних депутатів, військових частинах усіх військових формувань, на підприємствах, в установах і організаціях усіх форм власності, в представництвах України за кордоном, а також громадян. Представникам органів державної виконавчої влади, Служби безпеки, МВС, Міноборони всіляко сприяти власникові цього посвідчення у виконанні покладених на нього завдань відповідно до постанови Кабінету Міністрів України від N |