АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО
ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ
15.04.2013 N 215

Про затвердження нормативного документа системи
технічного захисту інформації НД ТЗІ 1.6-005-2013

Відповідно до Закону України "Про Державну службу спеціального зв'язку та захисту інформації України", на підставі рішення Тематичної секції Центральної науково-технічної ради Держспецзв'язку за напрямом "Технічний захист інформації" від 05 квітня 2013 року (протокол від 10 квітня 2013 року N 08/01/01-376дск) і з метою подальшого вдосконалення нормативної бази системи технічного захисту інформації НАКАЗУЮ:

1. Затвердити нормативний документ системи технічного захисту інформації НД ТЗІ 1.6-005-2013 "Захист інформації на об'єктах інформаційної діяльності. Положення про категоріювання об'єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці", що додається.

2. Об'єкти інформаційної діяльності, в тому числі об'єкти електронно-обчислювальної техніки, на яких на момент затвердження НД ТЗІ 1.6-005-2013 впроваджені заходи захисту інформації згідно з чинними нормативними документами системи технічного захисту інформації, не підлягають позачерговому категоріюванню до завершення термінів дії актів попереднього категоріювання або до змін ознаки категоріювання.

3. Директору ДТЗІ Адміністрації Держспецзв'язку забезпечити інформування суб'єктів системи технічного захисту інформації щодо затвердження НД ТЗІ 1.6-005-2013.

4. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.

Голова Служби Г.А. Резніков

Затверджено
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації України
15.04.2013 N 215

Нормативний документ системи технічного захисту інформації
Захист інформації на об'єктах інформаційної діяльності.

Положення про категоріювання об'єктів, де циркулює інформація
з обмеженим доступом, що не становить державної таємниці
НД ТЗІ 1.6-005-2013

Передмова

РОЗРОБЛЕНО і ВНЕСЕНО Департаментом технічного захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України.

УВЕДЕНО на заміну Положения по категорированию объектов ЭВТ на территории Украины (ПКО-ЭВТ-92) та Тимчасового положення про категоріювання об'єктів (ТПКО-95) стосовно об'єктів, де циркулює (обробляється технічними засобами та/або озвучується) інформація з обмеженим доступом, що не становить державної таємниці.

Об'єкти інформаційної діяльності, в тому числі об'єкти електронно-обчислювальної техніки, на яких на момент затвердження цього НД ТЗІ впроваджені заходи захисту інформації згідно з чинними нормативними документами, не підтягають перекатегоріюванню до завершення термінів дії актів попереднього категоріювання або до змін ознаки категоріювання.

1 Сфера застосування

Положення про категоріювання об'єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці (далі - Положення), розроблено відповідно до Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" та Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27.09.99 N 1229.

Положення визначає загальні вимоги з категоріювання, ознаку, за якою здійснюється категоріювання, а також порядок категоріювання об'єктів інформаційної діяльності, в тому числі об'єктів електронно-обчислювальної техніки (далі - об'єкти), де циркулює (обробляється технічними засобами та/або озвучується) інформація з обмеженим доступом, що не становить державної таємниці.

Положення є обов'язковим для органів державної влади, органів місцевого самоврядування, органів управління Збройних Сил України та інших військових формувань, органів судової влади, правоохоронних та інших державних органів, військових формувань, а також підприємств, установ, закладів і організацій незалежно від форми власності, на об'єктах яких обробляється технічними засобами та/або озвучується інформація з обмеженим доступом, що не становить державної таємниці.

2 Нормативні посилання

У Положенні наведено посилання на такі нормативно-правові акти та нормативні документи:

Закон України "Про доступ до публічної інформації";

Закон України "Про Державну службу спеціального зв'язку та захисту інформації України";

Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27.09.99 N 1229.

3 Терміни та визначення

У Положенні використано такі терміни та визначення:

власник об'єкта інформаційної діяльності - юридична або фізична особа, якій належить право власності на об'єкт інформаційної діяльності;

інформація з обмеженим доступом, що не становить державної таємниці - інформація, яка становить передбачену законом таємницю (крім державної), службова інформація, конфіденційна інформація, яка перебуває у володінні розпорядників і інформації, визначених частиною першою статті 13 Закону України "Про доступ до публічної інформації", та інша конфіденційна інформація, вимога щодо захисту якої встановлена законом;

категоріювання - сукупність дій зі встановлення категорії об'єкта;

категорія (об'єкта) - класифікаційна характеристика важливості об'єкта, за якою визначається необхідний (зі встановлених нормативно-правовими актами та нормативними документами системи технічного захисту інформації рівнів) рівень захисту інформації, що обробляється технічними засобами та/або озвучується на цьому об'єкті;

користувач (розпорядник) об'єкта інформаційної діяльності - юридична або фізична особа, якій надано право користуватися (розпоряджатися) об'єктом інформаційної діяльності;

об'єкт електронно-обчислювальної техніки (об'єкт ЕОТ) - об'єкт інформаційної діяльності, на якому здійснюється обробка інформації розташованими на ньому засобами електронно-обчислювальної техніки інформаційних (автоматизованих), телекомунікаційних або інформаційно-телекомунікаційних систем та/або іншими технічними засобами;

об'єкт інформаційної діяльності - інженерно-технічна споруда (приміщення), транспортний засіб, де здійснюється озвучення та/або обробка технічними засобами інформації з обмеженим доступом;

обробка інформації - здійснення за допомогою технічних засобів однієї або декількох операцій з інформацією, зокрема: створення, введення, збирання, записування, передавання, приймання (отримання), копіювання, перетворення, реєстрація, розмноження, дублювання, сканування (зчитування), роздрукування, зберігання, відображення (візуалізація, показ), відтворення, виготовлення (друкування) графічних і текстових документів, знищення тощо.

Інші терміни вживаються у значеннях, визначених в Законі України "Про захист інформації в інформаційно-телекомунікаційних системах", ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. Терміни та визначення, ДСТУ 2226-93 Автоматизовані системи. Терміни та визначення.

4 Позначення та скорочення

У Положенні використовуються такі скорочення:

5 Загальні положення та вимоги з категоріювання

5.1 Об'єкти, на яких здійснюватиметься обробка технічними засобами та/або озвучуватиметься інформація з обмеженим доступом, що не становить державної таємниці, підлягають обов'язковому категоріюванню.

5.2 Категоріювання може бути первинним, черговим або позачерговим.

5.3 Категоріювання здійснюється для визначення необхідного (зі встановлених нормативно-правовими актами та нормативними документами системи технічного захисту інформації рівнів) рівня захисту інформації, що обробляється технічними засобами та/або озвучується на об'єкті.

5.4 Відповідальність за своєчасність категоріювання та правильність встановлення категорії об'єкта покладається на керівника установи - власника (розпорядника, користувача) об'єкта.

5.5 Об'єктами категоріювання є об'єкти інформаційної діяльності, в тому числі об'єкти ЕОТ.

5.6 Категоріювання здійснюється за ознакою: ступінь обмеження доступу до інформації, що обробляється технічними засобами та/або озвучується на ОІД.

5.7 Об'єктам, на яких обробляється технічними засобами та/або озвучується інформація з обмеженим доступом, що не становить державної таємниці, встановлюється четверта (IV) категорія.

5.8 За рішенням розпорядників (користувачів) інформації або за рішенням власників (розпорядників, користувачів) об'єктів, на яких обробляється технічними засобами та/або озвучується інформація з обмеженим доступом, що не становить державної таємниці, об'єктам може встановлюватися III категорія.

5.9 Об'єкти, яким встановлено відповідну категорію, вносяться до Переліку категорійованих об'єктів, який ведеться власником (розпорядником, користувачем) об'єктів інформаційної діяльності.

6 Порядок категоріювання об'єктів

6.1 Категоріювання об'єктів здійснює їх власник (розпорядник, користувач).

6.2 Категоріювання об'єктів проводиться комісією з категоріювання установи - власника (розпорядника, користувача) об'єкта.

6.3 Комісія з категоріювання визначає ступень обмеження доступу до інформації, яка оброблятиметься технічними засобами та/або озвучуватиметься на об'єкті, та з урахуванням цього ступеня встановлює категорію об'єкта. Встановлена категорія зазначається в Акті категоріювання об'єкта (додаток А), який складається комісією з категоріювання за результатами її роботи.

6.4 Акт категоріювання об'єкта є чинним протягом 5 років з моменту проведення категоріювання, якщо не змінилась ознака, за якою була встановлена категорія об'єкта.

6.5 Первинне, чергове та позачергове категоріювання об'єктів проводиться за порядком, який наведений у пунктах 6.1-6.5 Положення.

6.6 Первинне категоріювання здійснюється у разі створення ОІД, де буде оброблятися технічними засобами та/або озвучуватися інформація з обмеженим доступом, що не становить державної таємниці.

6.7 Чергове категоріювання здійснюється не рідше ніж один раз на п'ять років.

6.8 Позачергове категоріювання здійснюється у разі зміни ознаки, за якою була встановлена категорія об'єкта.

Заступник директора Департаменту
технічного захисту інформації
Адміністрації Держспецзв'язку О.С. Зубрицький

Додаток А

Акт
категоріювання

З Додатком А можна ознайомитись: розділ "Довідники", підрозділ "Додатки до документів", папка "Накази".