АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ
ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
22.03.2007 N 36
Зареєстровано
в Міністерстві юстиції України
4 квітня 2007 р. за N 312/13579
Про затвердження Положення про порядок
розроблення, прийняття, перегляду та скасування
міжвідомчих нормативних документів системи
технічного захисту інформації
Відповідно до статті 17, пункту 2 розділу IX "Прикінцеві та перехідні положення" Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ), Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868, наказую:
1. Затвердити Положення про порядок розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації, що додається.
2. Визнати таким, що втратив чинність, наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 7 червня 2002 року N 35 "Про затвердження Положення про порядок розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації", зареєстрований в Міністерстві юстиції України 21 червня 2002 року за N 526/6814, із змінами.
3. Департаменту регулювання діяльності у сфері технічного захисту інформації Адміністрації Держспецзв'язку забезпечити подання в установленому порядку наказу на державну реєстрацію до Міністерства юстиції України.
4. Контроль за виконанням наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України відповідно до розподілу функціональних обов'язків.
Голова Служби Ю.Б.Чеботаренко
Затверджено
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації
України
22.03.2007 N 36
Зареєстровано
в Міністерстві юстиції України
4 квітня 2007 р. за N 312/13579
Положення
про порядок розроблення, прийняття, перегляду
та скасування міжвідомчих нормативних документів
системи технічного захисту інформації
1. Загальні питання
1.1. Положення про порядок розроблення, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації (далі - Положення) розроблено відповідно до Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" ( 3475-15 ), Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27.09.99 N 1229, та Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 24.06.2006 N 868, постанови Кабінету Міністрів України від 13.03.2002 N 281 "Про деякі питання захисту інформації, охорона якої забезпечується державою".
1.2. Положення визначає порядок розроблення, погодження, затвердження, реєстрації та видання нових, перегляду і скасування чинних міжвідомчих нормативних документів системи технічного захисту інформації (далі - НД ТЗІ), які регламентують організаційно-технічні аспекти захисту інформації та оцінки його ефективності під час всіх етапів життєвого циклу інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, об'єктів інформаційної діяльності, озброєння, військової та спеціальної техніки, небезпечних чи критичних технологій, а також містять вихідні дані для визначення потенційних загроз для інформації, розроблення комплексів (систем) її захисту тощо.
1.3. НД ТЗІ є обов'язковими для виконання при здійсненні діяльності, пов'язаної із захистом інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
1.4. Викладення, оформлення та позначення НД ТЗІ встановлюється Державною службою спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку) відповідно до вимог чинного законодавства.
1.5. Підставою для розроблення НД ТЗІ можуть бути нормативно-правові акти, державні програми розвитку системи технічного захисту інформації (далі - ТЗІ), інші науково-технічні та цільові програми у галузі ТЗІ.
2. Розроблення та погодження НД ТЗІ
2.1. Під час підготовки до розроблення НД ТЗІ визначається доцільність його створення, черговість робіт, а також можливі виконавці проекту, джерела фінансування тощо.
2.2. Розробляти НД ТЗІ можуть окремі підприємства, установи, організації, творчі колективи, групи спеціалістів (далі - розробники).
2.3. Розроблення НД ТЗІ здійснюється за замовленням Адміністрації Держспецзв'язку або за ініціативою та/або за власні кошти розробника.
2.4. Проект НД ТЗІ розробляється на підставі договору між Адміністрацією Держспецзв'язку і розробником відповідно до технічного завдання та календарного плану, а в разі розроблення за ініціативою розробника - на підставі технічного завдання на розроблення (перегляд) нормативного документа систем технічного захисту інформації (додаток 1), розглянутого науково-технічною радою Держспецзв'язку та затвердженого Головою Держспецзв'язку.
2.5. Стадії розроблення НД ТЗІ:
опрацювання, погодження і затвердження технічного завдання;
складання календарного плану розроблення НД ТЗІ ;
розроблення першої редакції проекту НД ТЗІ (розроблення, оформлення та надсилання на розгляд для отримання відгуку);
підготовка остаточної редакції проекту НД ТЗІ (аналіз відгуків, доопрацювання та оформлення, погодження, подання на затвердження).
2.6. Опрацювання технічного завдання на розроблення НД ТЗІ, його погодження та затвердження забезпечує розробник за порядком установленим пунктом 2.4.
До технічного завдання додаються:
перелік суб'єктів системи ТЗІ, яким проект НД ТЗІ надсилається на розгляд;
перелік суб'єктів системи ТЗІ, яким проект НД ТЗІ надсилається на погодження.
До переліку суб'єктів, яким проект НД ТЗІ надсилається на розгляд, включаються органи виконавчої влади, органи управління Збройних Сил України та інших військових формувань, підприємства та організації, які мають досвід діяльності у сфері ТЗІ або її частині до компетенції яких повністю або частково відносяться положення НД ТЗІ, що розробляється.
До переліку суб'єктів, з якими погоджується проект НД ТЗІ, включаються органи виконавчої влади та органи управління Збройних Сил України та інших військових формувань, до компетенції яких повністю або частково відносяться положення НД ТЗІ, що розробляється.
2.7. Під час розроблення проекту НД ТЗІ використовуються результати експериментальних, науково-дослідних, дослідно-конструкторських робіт і міжнародний досвід.
2.8. Одночасно з розробленням проекту НД ТЗІ складається пояснювальна записка.
2.9. Пояснювальна записка повинна містити відомості про:
підставу для розроблення і мету НД ТЗІ;
взаємозв'язок з іншими нормативними документами;
коротку характеристику положень, що містяться в проекті НД ТЗІ;
джерела інформації, які були використані під час підготовки проекту НД ТЗІ;
результати розгляду та погодження проекту НД ТЗІ суб'єктами системи ТЗІ.
Пояснювальна записка підписується керівником розробника.
2.10. Якщо під час розроблення проекту НД ТЗІ виникає потреба у зміні, доповненні або скасування чинних нормативних документів ТЗІ, одночасно з розробленням проекту нового НД ТЗІ готуються обґрунтовані пропозиції щодо перегляду, зміни або скасування чинних нормативних документів.
2.11. Перша редакція проекту НД ТЗІ розглядається на засіданні науково-технічної ради розробника або її відповідної секції. При відсутності у розробника науково-технічної ради розгляд першої редакції проекту НД ТЗІ здійснюється у відповідності до вимог технічного завдання на розроблення (перегляд) нормативного документа систем технічного захисту інформації.
У разі схвалення проекту НД ТЗІ він надсилається на розгляд суб'єктам системи ТЗІ згідно з переліком, зазначеним у додатку до технічного завдання.
Суб'єкти системи ТЗІ, яким надано на розгляд проект НД ТЗІ, повертають проект у термін, що не перевищує одного місяця з дня його одержання, разом із зауваженнями та пропозиціями, підписаними керівником або його заступником.
2.12. Розробник на підставі зауважень і пропозицій, що містяться у відгуках, допрацьовує проект НД ТЗІ, уточнює пояснювальну записку, готує зведення відгуків на першу редакцію проекту нормативного документа системи технічного захисту інформації за формою згідно з додатком 2.
2.13. Доопрацьований проект НД ТЗІ разом з пояснювальною запискою та зведенням відгуків розробник надсилає на погодження суб'єктам ТЗІ згідно з переліком, зазначеним у додатку до технічного завдання.
Суб'єкти системи ТЗІ, з якими погоджується проект НД ТЗІ, повертають останній у термін, що не перевищує десяти днів з дня одержання проекту, разом з відповідним висновком, підписаним керівником або його заступником.
2.14. Остаточна редакція проекту НД ТЗІ після врахування зауважень і пропозицій суб'єктів системи ТЗІ, з якими він погоджувався, обговорюється на засіданні науково-технічної ради розробника або її відповідної секції, де приймається рішення про подання проекту на затвердження до Адміністрації Держспецзв'язку. У разі відсутності у розробника науково-технічної ради остаточна редакція проекту НД ТЗІ обговорюється у відповідності до вимог технічного завдання на розроблення НД ТЗІ.
2.15. Проект НД ТЗІ подається на затвердження до Адміністрації Держспецзв'язку у трьох примірниках разом із супровідним листом, підписаним керівником розробника.
До проекту НД ТЗІ додаються:
технічне завдання на розроблення НД ТЗІ;
пояснювальна записка;
текст НД ТЗІ на електронному носії;
оригінали документів, що підтверджують його погодження;
зведення відгуків;
матеріали експертизи (у разі потреби);
рішення науково-технічної ради розробника або її відповідної секції (інші матеріали відповідно до вимог технічного завдання на розроблення НД ТЗІ).
В супровідному листі надається інформація щодо наявності чи відсутності розбіжностей з організаціями, які погоджували остаточну редакцію проекту НД ТЗІ.
2.16. Поданий проект НД ТЗІ розглядає науково-технічна рада Держспецзв'язку або її відповідна секція у термін, що не перевищує двох місяців з дня його надходження, і приймає рішення про схвалення проекту або повернення його на доопрацювання.
Науково-технічна рада Держспецзв'язку або її відповідна секція у разі потреби може прийняти рішення про проведення експертизи проекту НД ТЗІ.
У разі проведення експертизи термін розгляду проекту НД ТЗІ може бути продовжений на час її проведення, але не більше ніж на три місяці.
3. Затвердження та реєстрація НД ТЗІ
3.1. НД ТЗІ затверджується наказом Адміністрації Держспецзв'язку.
Під час реєстрації НД ТЗІ, яка проводиться в книзі реєстрації нормативних документів системи технічного захисту інформації за формою згідно з додатком 3, йому присвоюється відповідний код.
3.2. Перший та другий примірники НД ТЗІ разом з документами, що додаються до НД ТЗІ згідно з пунктом 2.15 Положення, залишаються в Адміністрації Держспецзв'язку, третій - повертається розробнику.
3.3. Перший примірник НД ТЗІ зберігається разом з наказом Адміністрації Держспецзв'язку про його затвердження, другий примірник - в окремій справі разом з додатками згідно з пунктом 2.15 та матеріалами щодо його перегляду та скасування. Термін зберігання справи - п'ять років після скасування відповідного НД ТЗІ.
4. Видання НД ТЗІ та інформація про нього
4.1. Дані про затвердження і набрання чинності НД ТЗІ розміщуються на WEB-сайті Держспецзв'язку та публікуються в офіційних виданнях Адміністрації Держспецзв'язку та інших засобах масової інформації за погодженням з Адміністрацію Держспецзв'язку.
4.2. Розмноження і розповсюдження НД ТЗІ здійснюється за погодженням з Адміністрацією Держспецзв'язку.
5. Порядок перегляду та внесення змін до НД ТЗІ
5.1. Перегляд НД ТЗІ проводиться за рішенням науково-технічної ради Держспецзв'язку або її відповідної секції, але не рідше ніж один раз на п'ять років.
Перегляд НД ТЗІ здійснюється структурними підрозділами Держспецзв'язку, розробником НД ТЗІ або на договірній основі іншими суб'єктами системи ТЗІ.
За результатами перегляду науково-технічна рада Держспецзв'язку або її відповідна секція приймає рішення про необхідність розроблення нового НД ТЗІ, внесення змін до чинного НД ТЗІ, про подальше його застосування або його скасування.
5.2. Розроблення, погодження та затвердження змін до чинного НД ТЗІ, їх реєстрація здійснюються в порядку, встановленому для розроблення, погодження, затвердження та реєстрації НД ТЗІ, що розробляється вперше.
6. Порядок скасування НД ТЗІ
6.1. Скасування НД ТЗІ здійснюється наказом Адміністрації Держспецзв'язку за погодженням із суб'єктами системи ТЗІ, що погоджували проект, на підставі рішення науково-технічної ради Держспецзв'язку або її відповідної секції у разі розроблення нової редакції НД ТЗІ або встановлення недоцільності подальшого його застосування.
Рішення про скасування НД ТЗІ приймається не пізніше ніж за два місяці до визначеної дати його скасування.
6.2. На підставі рішення про скасування НД ТЗІ відповідна інформація розміщується на WEB-сайті Адміністрації Держспецзв'язку та публікується в офіційних виданнях Адміністрації Держспецзв'язку та інших засобах масової інформації за погодженням з Адміністрацією Держспецзв'язку.
Заступник директора Департаменту регулювання
діяльності у сфері технічного захисту інформації
Адміністрації Держспецзв'язку Б.Ф.Пшеничніков
Додаток 1
до пункту 2.4 Положення
про порядок розроблення,
прийняття, перегляду
та скасування міжвідомчих
нормативних документів
системи технічного
захисту інформації
ПОГОДЖЕНО ЗАТВЕРДЖУЮ
_______________________________ Голова Державної служби
(повна назва посади керівника спеціального зв'язку
та повна назва та захисту інформації
організації-розробника) України
__________ ____________________ ___________ ___________________
(підпис) (розкриття підпису) (підпис) (розкриття підпису)
"___"___________ 200 __ р. "___"___________ 200 __ р.
М.П. М.П.
ТЕХНІЧНЕ ЗАВДАННЯ
на розроблення (перегляд) нормативного документа
системи технічного захисту інформації
________________________________________
(назва документа)
Підстава для розроблення (перегляду)_____________________________
_________________________________________________________________
(номер та дата наказу, договору, рішення НТР)
Замовник ________________________________________________________
Виконавець_______________________________________________________
Терміни виконання:
Початок ______________________ 200 __ р.
Закінчення ______________________ 200 __ р.
Мета та завдання розроблення (перегляду) НД ТЗІ
Характеристика об'єкта розроблення (перегляду)
_________________________________________________________________
(призначення, обсяг та вимоги до порядку розроблення
_________________________________________________________________
і оформлення, група і вид НД ТЗІ; гриф обмеження доступу
_________________________________________________________________
до об'єкта розроблення)
Розділи НД ТЗІ, їх короткий зміст _______________________________
Взаємозв'язок з іншими нормативними документами__________________
Джерела інформації ______________________________________________
Етапи робіт і термін їх виконання:
------------------------------------------------------------------
|N з/п | Найменування етапу | Термін виконання |
|------+------------------------------------+--------------------|
|1 | | |
|------+------------------------------------+--------------------|
|2 | | |
|------+------------------------------------+--------------------|
|3 | | |
------------------------------------------------------------------
Заходи з забезпечення охорони державної таємниці (за
необхідності).
Додаткові відомості _________________________________________
Додатки:
1. Перелік суб'єктів системи ТЗІ, яким проект НД ТЗІ
надсилається на розгляд.
2. Перелік суб'єктів системи ТЗІ, яким проект НД ТЗІ
надсилається на погодження.
Від Розробника Від Держспецзв'язку
_______________________________ ________________________________
(посада) (посада)
__________ ____________________ ___________ ___________________
(підпис) (розкриття підпису) (підпис) (розкриття підпису)
"___"___________ 200 __ р. "___"___________ 200 __ р.
Заступник директора Департаменту регулювання
діяльності у сфері технічного захисту інформації
Адміністрації Держспецзв'язку Б.Ф.Пшеничніков
Додаток 2
до пункту 2.12 Положення
про порядок розроблення,
прийняття, перегляду
та скасування міжвідомчих
нормативних документів
системи технічного
захисту інформації
ЗВЕДЕННЯ ВІДГУКІВ
на першу редакцію проекту нормативного
документа системи технічного захисту інформації
_______________________________________________
(найменування документа)
------------------------------------------------------------------
|N | Номер | Текст розділу, | Назва | Зауваження і |Висно-|
|з/п|розді- | пункту, | органа |(або) пропозиції| вок |
| | лу, | підпункту, | виконавчої| |розро-|
| |пункту,| додатка, до | влади, | | бника|
| |підпун-|якого вносяться | місцевого | | |
| | кту, | зміни | самовряду-| | |
| |додат- | | вання, | | |
| | ка, до| | установи, | | |
| | якого | | організа- | | |
| |внося- | | ції, | | |
| | ться | |підприємст-| | |
| | зміни | | ва, номер | | |
| | | | листа та | | |
| | | | дата | | |
|---+-------+----------------+-----------+----------------+------|
| | | | | | |
|---+-------+----------------+-----------+----------------+------|
| | | | | | |
|---+-------+----------------+-----------+----------------+------|
| | | | | | |
------------------------------------------------------------------
Заступник директора Департаменту регулювання
діяльності у сфері технічного захисту інформації
Адміністрації Держспецзв'язку Б.Ф.Пшеничніков
Додаток 3
до пункту 3.1 Положення
про порядок розроблення,
прийняття, перегляду
та скасування
міжвідомчих нормативних
документів системи
технічного захисту
інформації
КНИГА
реєстрації нормативних документів
системи технічного захисту інформації
------------------------------------------------------------------
|N з/п | Дата |Код|Повне | На |Дата та|Термін|Розроб-|Відміт-|
| |реєст- | |найме-|заміну | номер |набра-| ник |ки про |
| | рації | |нуван-| якого |наказу | ння | |перег- |
| | | | ня |докуме-| про |чинно-| | ляд, |
| | | | | нта чи|затвер-| сті | |внесен-|
| | | | |введе- |дження | | | ня |
| | | | | ний | | | | змін, |
| | | | |вперше | | | |скасу- |
| | | | | | | | | вання |
|------+-------+---+------+-------+-------+------+-------+-------|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
|------+-------+---+------+-------+-------+------+-------+-------|
| | | | | | | | | |
------------------------------------------------------------------
Заступник директора Департаменту регулювання
діяльності у сфері технічного захисту інформації
Адміністрації Держспецзв'язку Б.Ф.Пшеничніков