МІНІСТЕРСТВО ВНУТРІШНІХ СПРАВ УКРАЇНИ
НАКАЗ
29.02.2016 N 139
Зареєстровано
в Міністерстві юстиції України
23 березня 2016 р. за N 431/28561
Про затвердження Положення про контроль за станом
технічного захисту інформації в органах і
підрозділах Національної поліції України
Відповідно до Законів України "Про державну таємницю", "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року N 1229, з метою посилення контролю за станом технічного захисту інформації в органах і підрозділах Національної поліції України НАКАЗУЮ:
1. Затвердити Положення про контроль за станом технічного захисту інформації в органах і підрозділах Національної поліції України, що додається.
2. Департаменту формування політики щодо підконтрольних Міністрові органів влади та моніторингу МВС (Боднар В.Є.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.
3. Контроль за виконанням цього наказу покласти на Голову Національної поліції України Х. Деканоідзе.
4. Цей наказ набирає чинності з дня його офіційного опублікування.
Міністр А.Б. Аваков
Затверджено
Наказ Міністерства внутрішніх справ України
29.02.2016 N 139
Зареєстровано
в Міністерстві юстиції України
23 березня 2016 р. за N 431/28561
Положення
про контроль за станом технічного захисту інформації
в органах і підрозділах Національної поліції України
І. Загальні положення
1. Це Положення визначає порядок організації та здійснення контролю Національною поліцією України (далі - НПУ) за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, у підрозділах центрального органу управління НПУ, територіальних (у тому числі міжрегіональних) органах в Автономній Республіці Крим, областях, містах Києві та Севастополі, районах, містах, районах у містах, а також установах забезпечення НПУ (далі - органи, щодо яких здійснюється ТЗІ).
2. Контроль за станом технічного захисту інформації (далі - ТЗІ) в органах і підрозділах НПУ здійснюється Управлінням режиму та технічного захисту інформації Національної поліції України (далі - УРТЗІ НПУ).
Контроль за станом технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, здійснюється в органах, щодо яких здійснюється ТЗІ.
3. У цьому Положенні наведені нижче терміни вживаються в таких значеннях:
контрольно-інспекторська робота з питань ТЗІ - діяльність, спрямована на визначення та вдосконалення стану ТЗІ в органах, щодо яких здійснюється ТЗІ;
об'єкт інформаційної діяльності - інженерно-технічна споруда (приміщення), транспортний засіб, де провадиться діяльність, пов'язана з державними інформаційними ресурсами та інформацією, вимога щодо захисту якої встановлена законом;
передумови витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за відсутності підтвердженої відповідності впроваджених заходів вимогам та нормам з ТЗІ;
порушення у сфері ТЗІ - невиконання вимог нормативно-правових актів та нормативно-технічних документів системи ТЗІ за категоріями, які визначають можливість реалізації загроз безпеці інформації;
реальна загроза витоку (просочення) інформації технічними каналами - наявність технічного каналу поширення інформації за умови підтвердження відповідними інструментально-розрахунковими методами невідповідності впроваджених заходів вимогам та нормам з ТЗІ;
технічний канал витоку інформації - сукупність джерела інформації, середовища її поширення та технічних засобів розвідки.
Інші терміни вживаються в цьому Положенні у значеннях, визначених у Законах України "Про державну таємницю", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про інформацію", "Про Державну службу спеціального зв'язку та захисту інформації України".
4. Контроль за станом ТЗІ полягає в перевірці виконання вимог нормативно-правових актів і нормативно-технічних документів з ТЗІ та здійснюється з метою визначення стану ТЗІ в органах, щодо яких здійснюється ТЗІ, виявлення порушень з ТЗІ та запобігання ним.
5. Контроль за станом ТЗІ здійснюється УРТЗІ НПУ шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ стосовно органів, щодо яких здійснюється ТЗІ.
6. Контроль заходів з ТЗІ в органах, щодо яких здійснюється ТЗІ, виконується відповідними підрозділами, на які письмовим наказом керівника територіального (у тому числі міжрегіонального) органу поліції покладено забезпечення ТЗІ в цих органах (далі - підрозділи ТЗІ).
7. Відповідальними особами за організацію та контроль заходів з ТЗІ в органах, щодо яких здійснюється ТЗІ, є їх керівники.
8. Контрольно-інспекторська робота з питань ТЗІ включає планування та проведення перевірок стану ТЗІ (далі - перевірки) в органах, щодо яких здійснюється ТЗІ, аналіз їх результатів та надання рекомендацій щодо вдосконалення заходів з ТЗІ.
9. За результатами контрольно-інспекторської роботи проводиться аналіз та узагальнення стану ТЗІ в органах, щодо яких здійснюється ТЗІ.
Аналітичні матеріали щодо стану ТЗІ в органах, щодо яких здійснюється ТЗІ, доповідаються Голові НПУ або його заступникові відповідно до розподілу функціональних обов’язків.
ІІ. Організація проведення перевірок стану ТЗІ
1. Перевірки стану ТЗІ діляться на комплексні, цільові (тематичні) та контрольні. Зазначені перевірки можуть бути плановими та позаплановими.
2. При комплексній перевірці визначається відповідність комплексу ТЗІ (комплексної системи захисту інформації) вимогам нормативно-правових актів та нормативно-технічних документів системи ТЗІ.
3. При цільовій (тематичній) перевірці перевіряються окремі складові комплексу ТЗІ (комплексної системи захисту інформації) на відповідність упроваджених заходів вимогам нормативно-правових актів та нормативно-технічних документів системи ТЗІ.
4. При контрольній перевірці перевіряються повнота та достатність проведених заходів щодо усунення недоліків, які були виявлені в ході проведення попередньої комплексної або цільової перевірки. Контрольні перевірки проводяться після отримання письмового повідомлення про усунення недоліків.
5. Планові перевірки здійснюються згідно з планом основних організаційних і практичних заходів УРТЗІ НПУ, який затверджується начальником УРТЗІ НПУ.
6. Позапланові перевірки проводяться в разі наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ або в разі виникнення потреби у визначенні повноти та достатності заходів з ТЗІ, ужитих органами, щодо яких здійснюється ТЗІ. Зазначені перевірки можуть проводитися з попередженням або без попередження керівників органів, щодо яких здійснюється ТЗІ.
7. Керівництво органів, щодо яких здійснюється ТЗІ, повідомляється про проведення перевірки не менше ніж за десять діб до її початку (за винятком проведення позапланової перевірки).
8. Перевірки стану ТЗІ здійснюються посадовими особами УРТЗІ НПУ, на яке покладено виконання завдань щодо здійснення контролю за станом ТЗІ.
9. Підставою для допуску посадових осіб УРТЗІ НПУ до перевірки та надання документів, необхідних для її проведення (у тому числі з обмеженим доступом), є наявність припису на проведення перевірки, форму якого визначено у додатку до цього Положення, за підписом Голови НПУ або його заступника відповідно до розподілу функціональних обов’язків, та інших документів з дотриманням вимог законодавства про державну таємницю.
Перевірки Департаменту оперативної служби Національної поліції України, Департаменту оперативно-технічних заходів Національної поліції України та Департаменту кримінальної розвідки Національної поліції України здійснюються за приписом на проведення перевірки, підписаним Головою НПУ або його заступником, який відповідно до розподілу функціональних обов’язків координує та контролює діяльність цих Департаментів.
ІІІ. Права посадових осіб УРТЗІ НПУ, що здійснюють перевірку стану ТЗІ
1. Посадові особи УРТЗІ НПУ, які здійснюють перевірку стану ТЗІ, мають право на:
1) доступ на об'єкти інформаційної діяльності органів, щодо яких здійснюється ТЗІ, для здійснення контролю за станом ТЗІ, а також до інших приміщень (на територію, у споруди, будівлі, кабінети) для вивчення питань, безпосередньо пов'язаних з перевіркою;
2) ознайомлення з будь-якими документами, необхідними для перевірки;
3) отримання копій необхідних документів, письмових пояснень посадових осіб (довідок, рапортів) з питань, що виникають під час перевірки;
4) надання за результатами перевірок обов’язкових для виконання рекомендацій щодо приведення стану ТЗІ у відповідність до вимог чинного законодавства України та здійснення контролю за їх виконанням;
5) порушення питання перед керівниками органів, щодо яких здійснюється ТЗІ, стосовно проведення службового розслідування (перевірки) при невиконанні вимог нормативно-правових актів і нормативно-технічних документів з питань технічного захисту інформації, вимога щодо захисту якої встановлена законом.
2. Посадові особи УРТЗІ НПУ у разі виявлення порушень норм і вимог з ТЗІ першої або другої категорії мають право порушувати питання щодо призупинення дій відповідних актів атестації комплексів ТЗІ та атестатів відповідності комплексної системи захисту інформації в автоматизованих системах, про що надсилається відповідний запит до Держспецзв’язку.
У випадку виявлення порушень норм і вимог з ТЗІ першої або другої категорії керівник органу, щодо якого здійснюється ТЗІ, негайно видає письмовий наказ про припинення обробки інформації, вимога щодо захисту якої встановлена законом, або державних інформаційних ресурсів на об’єктах інформаційної діяльності (у тому числі на об’єктах електронно-обчислювальної техніки), де були виявлені зазначені порушення.
Дозвіл на відновлення обробки інформації на об’єктах інформаційної діяльності (у тому числі на об’єктах електронно-обчислювальної техніки), де були виявлені порушення норм і вимог з ТЗІ першої або другої категорії, дає керівник органу, щодо якого здійснюється ТЗІ, за погодженням з Держспецзв’язку після усунення порушень.
IV. Порядок проведення перевірок стану ТЗІ
1. Для проведення перевірки стану ТЗІ посадові особи УРТЗІ НПУ пред'являють керівникові органу, щодо якого здійснюється ТЗІ, або особі, яка виконує його обов’язки, припис на проведення перевірки та службові посвідчення.
2. При проведенні перевірки стану ТЗІ контролю підлягають повнота та достатність упроваджених на об'єктах інформаційної діяльності заходів з ТЗІ, їх відповідність вимогам нормативно-правових актів, виконання рекомендацій щодо усунення порушень з ТЗІ.
3. За результатами перевірок посадовими особами УРТЗІ НПУ складається відповідна довідка про результати перевірки стану ТЗІ.
4. Довідки про результати перевірок стану ТЗІ складаються в довільній формі. У довідці про результати перевірки мають бути відображені такі напрями роботи:
1) організаційні заходи із забезпечення ТЗІ;
2) заходи з технічного захисту мовної інформації;
3) заходи з технічного захисту інформації, яка обробляється в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, засобах розмноження документів та інших технічних засобах, які використовуються для обробки інформації;
4) заходи з технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, під час організації проектування будівництва, реконструкції та капітального ремонту об’єктів інформаційної діяльності;
5) заходи з технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, під час прийому іноземних делегацій, іноземців та осіб без громадянства.
5. Довідки про результати перевірок стану ТЗІ готуються у двох примірниках. Перший примірник довідки про результати перевірки надсилається до органу, щодо якого здійснюється ТЗІ, другий - до УРТЗІ НПУ.
6. Усі примірники довідки підписуються посадовими особами УРТЗІ НПУ, які проводили перевірку.
Керівник або особа, яка виконує його обов’язки, органу, щодо якого здійснюється ТЗІ, ознайомлюється з довідкою про результати перевірки та ставить свій підпис.
7. У разі відмови керівника органу, щодо якого здійснюється ТЗІ, засвідчити факт ознайомлення з довідкою про результати перевірки своїм підписом посадові особи УРТЗІ НПУ, що здійснювали перевірку, роблять у довідці відповідний запис про це.
V. Кваліфікація порушень ТЗІ
1. Порушення ТЗІ діляться на три категорії, які визначають можливість реалізації загроз безпеці інформації:
1) перша категорія - невиконання вимог нормативно-правових актів та нормативно-технічних документів з ТЗІ, унаслідок чого створюється реальна загроза порушення конфіденційності (зокрема за рахунок витоку (просочення) технічними каналами) та (або) цілісності й доступності інформації;
2) друга категорія - невиконання вимог нормативно-правових актів та нормативно-технічних документів з ТЗІ, унаслідок чого створюються передумови для порушення конфіденційності (зокрема за рахунок витоку (просочення) технічними каналами) та (або) цілісності й доступності інформації;
3) третя категорія - невиконання інших вимог з ТЗІ.
2. Кваліфікаційні ознаки порушень ТЗІ:
1) ознаки порушень першої категорії:
установлення факту циркуляції інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, на об'єктах інформаційної діяльності, в інформаційних або інформаційно-телекомунікаційних системах за умови підтвердження інструментально-розрахунковими методами наявності технічного каналу витоку інформації;
установлення факту обробки інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних або інформаційно-телекомунікаційних системах, які мають вихід незахищеними каналами зв'язку за межі контрольованої зони, за умови відсутності атестата відповідності на комплексну систему захисту інформації;
установлення факту обробки інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, в інформаційних або інформаційно-телекомунікаційних системах, які не мають виходу за межі контрольованої зони, за умови доступу до її інформаційних ресурсів користувачів, які мають різні повноваження (права доступу до інформації), та за умови відсутності атестата відповідності на комплексну систему захисту інформації;
установлення факту обробки державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, які мають підключення до телекомунікаційних мереж (у тому числі телекомунікаційних мереж загального користування), за умови відсутності атестата відповідності на комплексну систему захисту інформації;
установлення факту несанкціонованого доступу користувачів інформаційних, телекомунікаційних або інформаційно-телекомунікаційних систем до державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, шляхом порушення встановлених правил розмежування доступу або подолання заходів захисту;
2) ознаки порушень другої категорії:
установлення факту циркуляції державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, на об'єктах інформаційної діяльності, в інформаційних або інформаційно-телекомунікаційних системах за умови відсутності підтвердження інструментально-розрахунковими методами відповідності комплексу ТЗІ нормам та вимогам з ТЗІ;
установлення факту обробки державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних або інформаційно-телекомунікаційних системах, які мають вихід за межі контрольованої зони захищеними каналами, за умови відсутності атестата відповідності на комплексну систему захисту інформації;
установлення факту обробки державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних або інформаційно-телекомунікаційних системах, які не мають виходу за межі контрольованої зони, за умови відсутності атестата відповідності на комплексну систему захисту інформації;
сукупність невиконаних організаційних заходів з ТЗІ, що унеможливлює створення та функціонування комплексної системи захисту інформації;
3) невиконання вимог нормативно-правових актів щодо впровадження організаційних заходів з ТЗІ, а також інших норм та вимог у сфері захисту інформації, що не призводить до порушень першої або другої категорії, кваліфікується як порушення третьої категорії.
VI. Висновки перевірок стану ТЗІ та критерії їх складання
1. Висновок перевірки визначає оцінку стану ТЗІ, повноту та достатність заходів щодо впровадження комплексу ТЗІ (комплексної системи захисту інформації) та їх відповідність вимогам нормативно-правових актів з ТЗІ.
Основним критерієм відповідності стану ТЗІ вимогам нормативно-технічних документів та нормативно-правових актів є відсутність порушень ТЗІ.
2. Критерії відповідності стану ТЗІ:
1) стан ТЗІ відповідає вимогам нормативно-правових актів.
Критерієм висновку є відсутність будь-яких порушень норм та вимог з ТЗІ;
2) стан ТЗІ відповідає вимогам нормативно-правових актів, за винятком виявлених недоліків.
Критерієм висновку є наявність хоча б одного порушення ТЗІ третьої категорії;
3) стан ТЗІ не повною мірою відповідає вимогам нормативно-правових актів, що створює передумови для порушення конфіденційності, цілісності, доступності та (або) витоку технічними каналами інформації, вимога щодо захисту якої встановлена законом.
Критерієм висновку є наявність хоча б одного порушення ТЗІ другої категорії;
4) стан ТЗІ не відповідає вимогам нормативно-правових актів, що створює реальну можливість порушення конфіденційності, цілісності, доступності та (або) витоку технічними каналами інформації, вимога щодо захисту якої встановлена законом.
Критерієм висновку є наявність хоча б одного порушення ТЗІ першої категорії.
3. Висновок за результатами контрольної перевірки, крім оцінки стану ТЗІ, відображає повноту виконання рекомендацій (виконано, не виконано, виконано не в повному обсязі) щодо приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативно-технічних документів з ТЗІ, наданих в довідці попередньої перевірки.
4. Висновок за результатами цільової (тематичної) перевірки визначає оцінку стану ТЗІ в окремих напрямах організації роботи та складових комплексу ТЗІ (комплексної системи захисту інформації), що перевірялися.
5. З метою приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативно-технічних документів з ТЗІ посадові особи УРТЗІ НПУ, які здійснювали перевірку, у довідці про результати перевірки надають конкретні рекомендації щодо усунення виявлених порушень, виконання яких є обов'язковим для посадових осіб органів, щодо яких здійснюється ТЗІ.
6. Для з'ясування причин, які призвели до порушень першої категорії, а також притягнення осіб, які їх учинили, до відповідальності посадовими особами УРТЗІ НПУ ініціюється проведення відповідних службових розслідувань (перевірок). Службові розслідування (перевірки) можуть також ініціюватися при порушеннях другої категорії в разі установлення факту обробки інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, на неатестованих об’єктах інформаційної діяльності.
7. З метою приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативно-технічних документів з ТЗІ, а також виконання рекомендацій, наданих за результатами перевірки, керівниками органів, щодо яких здійснюється ТЗІ, у місячний строк після отримання довідки про результати перевірки затверджується план усунення недоліків, один примірник якого надсилається до УРТЗІ НПУ.
8. Повідомлення про виконання рекомендацій щодо приведення стану ТЗІ у відповідність до вимог нормативно-правових актів та нормативно-технічних документів з ТЗІ надсилається до УРТЗІ НПУ у строки, зазначені в довідці про результати перевірки та плані усунення недоліків.
9. Посадові особи органів, щодо яких здійснюється ТЗІ, під час перевірки зобов'язані надавати всі необхідні для проведення перевірки документи та забезпечувати умови для її проведення.
Директор Департаменту формування політики щодо
підконтрольних Міністрові органів влади
та моніторингу В.Є. Боднар
Додаток
до Положення про контроль за станом технічного захисту
інформації в органах і підрозділах
Національної поліції України
(пункт 9 розділу ІІ)
Припис
на проведення перевірки
Припис на проведення перевірки для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Накази".